科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网站挂马简要分析 确保网站安全运行

网站挂马简要分析 确保网站安全运行

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随即问了相关的同事,告诉我,那个网站确实被挂马,而且之前也被挂过很多次。于是,对那个网站进行了下简单的分析。

来源:论坛整理 2008年6月20日

关键字: 入侵 系统安全 网络安全

  • 评论
  • 分享微博
  • 分享邮件
中午,一个朋友问我瑞星个人防火墙是不是误操作把999宝藏网(www.in9.cn)给屏蔽了。他经常去那个坛子,现在每次都得把防火墙关掉才能上去,很麻烦。登陆那个网站看了下,不止瑞星个人防火墙会拦截,安装了卡卡助手,上这个网站的时候也会提示访问的网址可能是一个不良网站。 

随即问了相关的同事,告诉我,那个网站确实被挂马,而且之前也被挂过很多次。于是,对那个网站进行了下简单的分析。 

1、查看该网站的源代码,引用了几个js脚本,其中有一个是js路径下的global.js。这个脚本全局引用,打开999宝藏网的任何一页都会调用这个脚本。 

2、打开www.in9.cn/js/global.js文件,可以看到这个脚本又同时调用了几个脚本。其中有一行调用了pw_tag.js文件。 

3、 继续查看这个www.in9.cn/js/pw_tag.js的代码,可以看到一个高为1的iframe引用,应该是比较明显的挂马或带流量广告的迹象。 

而xu.html文件里又有一个iframe,引用“ads.html”文件。 

4、 查看www.cnnz8.cn/ads.html,是一个加密的网页。 

把代码最后一句window["\x65\x76\x61\x6c"] (t);改成ss.value=(t),在页面的最前面加[textarea id=ss],能够得到解出的页面。 

5、 从解出的页面中可以得到几个地址: 

http://www.360safee.net.cn/1.html 

http://www.360safee.net.cn/x.html 

http://www.360safee.net.cn/r.html 

http://www.360safee.net.cn/nr.html 

http://www.360safee.net.cn/Baidu.cab Baidu.cab文件直接就是木马,瑞星报Trojan.Win32.Undef.ggv 1.html 

下载http://www.8yumen.cn/hello.exe,瑞星报Trojan.Win32.Undef.ghz x.html 

下载http://www.chinaz8.cn/hello.exe r.html 下载 http://www.chinaz8.cn/hello.exe nr.html 

下载http://www.chinaz8.cn/hello.exe 几个下载地址下载的文件相同。去那个论坛随便逛了逛,也有坛友反应被瑞星防火墙屏蔽的事情,一个管理员的回复差点雷死我。 截止到发Blog时,该网站挂马扔没被清除。真不知道这时候是面子重要还是坛友的电脑安全重要。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章