网站挂马简要分析保障个人网络安全(页 1) - 电脑综合区 - 我爱电脑技术论坛打造最好的电脑自学交流论坛

麦迪发表于 2008-6-6 11:07

网站挂马简要分析保障个人网络安全

此贴中的网址可能被挂马，可能会影响你电脑安全，请大家不要随便乱点击！xz$D`~?5J
中午，一个朋友问我瑞星个人防火墙是不是误操作把999宝藏网（[url]www.in9.cn[/url]）给屏蔽了。他经常去那个坛子，现在每次都得把防火墙关掉才能上去，很麻烦。登陆那个网站看了下，不止瑞星个人防火墙会拦截，安装了卡卡助手，上这个网站的时候也会提示访问的网址可能是一个不良网站。
随即问了相关的同事，告诉我，那个网站确实被挂马，而且之前也被挂过很多次。于是，对那个网站进行了下简单的分析。 vul ?f(U/A-s
1、查看该网站的源代码，引用了几个js脚本，其中有一个是js路径下的global.js。这个脚本全局引用，打开999宝藏网的任何一页都会调用这个脚本。 4r1t@)PLb8?
2、打开[url]www.in9.cn/js/global.js[/url]文件，可以看到这个脚本又同时调用了几个脚本。其中有一行调用了pw_tag.js文件。 d;M3W%Cr;l
3、继续查看这个[url]www.in9.cn/js/pw_tag.js[/url]的代码，可以看到一个高为1的iframe引用，应该是比较明显的挂马或带流量广告的迹象。 xJU}&Y
而xu.html文件里又有一个iframe，引用“ads.html”文件。
4、查看[url]www.不良信息自动过滤z8.cn/ads.html[/url]，是一个加密的网页。 7tYSn4d(d
把代码最后一句window["\x65\x76\x61\x6c"] (t);改成ss.value=(t)，在页面的最前面加[textarea id=ss]，能够得到解出的页面。
5、从解出的页面中可以得到几个地址： .dUm'O!P3|P){4x
[url]http://www.360safee.net.cn/1.html[/url]
[url]http://www.360safee.net.cn/x.html[/url]
[url]http://www.360safee.net.cn/r.html[/url] #Fvb5^J:j1q uV:t8tlz
[url]http://www.360safee.net.cn/nr.html[/url] %Q4]y-B/tF
[url]http://www.360safee.net.cn/Baidu.cab[/url] Baidu.cab文件直接就是木马，瑞星报Trojan.Win32.Undef.ggv 1.html
下载[url]http://www.8yumen.cn/hello.exe[/url]，瑞星报Trojan.Win32.Undef.ghz x.html T%ymYB`9^
下载[url]http://www.chinaz8.cn/hello.exe[/url] r.html 下载 [url]http://www.chinaz8.cn/hello.exe[/url] nr.html
下载[url]http://www.chinaz8.cn/hello.exe[/url] 几个下载地址下载的文件相同。去那个论坛随便逛了逛，也有坛友反应被瑞星防火墙屏蔽的事情，一个管理员的回复差点雷死我。截止到发Blog时，该网站挂马扔没被清除。真不知道这时候是面子重要还是坛友的电脑安全重要~~~

从去年到今年，好像很多次听说这个网站被挂马了，而且自己亲身体验过几次，建议大家以后上这个网站要多注意了。

页: [1]

我爱电脑技术论坛's Archiver

网站挂马简要分析 保障个人网络安全

网站挂马简要分析保障个人网络安全