使用一流信息监控拦截css/c.js方式的挂马

linhai

　　　近期很多网站被挂上了内容为：“.nuclear3.c%6F%6D/css/c.js”的木马，严重影响了很多网站的正常运行，经星外科技检查，这种注入方式采用的是综合的POST,GET及COOKIE方式的注入，而且黑客自动使用程序在百度中查找有问题的网站，自动进行注入，因此保守估计有上万人网站受到了影响。

　　挂马的原始代码使用了cast对注入内容进行编码，因此传统的拦截方式没有作用。

　　为了解决这个问题，您需要进行以下的操作：
一.将一流信息监控升级到4.07版，只有这个版本才能支持cookie拦截。

二.您可以拦截配置中，启用Cookie拦截及SQL拦截，

然后，您需要在配置中

“流入拦截关键词”，“GET请求的限制”，“POST请求的限制”

设置拦截以下的内容：

1.拦截cast关键词；
2.拦截declare
3.拦截0x4400
4.拦截exec
5.拦截varchar
6.在GET拦截中拦截--

就是说，你可以直接将
cast@declare@0x4400@exec@varchar@
加在“流入拦截关键词”，

保存后，就可以解决被挂马的问题。