cctv被挂马了吗？？ bbs.ikaka.com

小新颖 - 2008-11-26 23:21:00

高人帮忙鉴定一下啊，cctv也会被挂马吗？？
http://www.cctv.com
http://music.cctv.com

左眼球 - 2008-11-27 0:02:00

http://www.cctv.com
这个没问题

http://music.cctv.com
这个确实被挂了

查看源码能看到有8个iframe有问题

再查看这8个页面的源码，能看到一个tool.js

把这个tool.js下载下来看源码，能看到这个：
http://%6C%69%75%78%75%65%38%38%38.com/faq/images/help/help.htm

附件不够上传了，3楼继续

左眼球 - 2008-11-27 0:05:00

继续接着2楼

实际上就是这个页面：http://liuxue888.com/faq/images/help/help.htm
打开以后再看源码

最终得到的挂马链接就是这些了：
http://liuxue888.com/faq/images/help/f.htm
http://liuxue888.com/faq/images/help/06014.htm
http://liuxue888.com/faq/images/help/siuc.htm
http://liuxue888.com/faq/images/help/ac.htm
http://liuxue888.com/faq/images/help/acc.htm
http://liuxue888.com/faq/images/help/ce.htm
http://liuxue888.com/faq/images/help/uu.htm
http://liuxue888.com/faq/images/help/0733.htm
http://liuxue888.com/faq/images/help/IENoRun.htm
http://liuxue888.com/faq/images/help/wm.htm

零三 - 2008-11-27 0:26:00

是真的，我看过了,确定被挂了,卡巴2009报了

零三 - 2008-11-27 0:39:00

http://music.cctv.com/audioplay/audioplay.asp
这个页面也中了

零三 - 2008-11-27 0:40:00

从首页分析出来的
/index/shouye_yymy.asp 这里是连接地址

左眼球 - 2008-11-27 0:43:00

引用:

原帖由零三于 2008-11-27 0:40:00 发表
从首页分析出来的
/index/shouye_yymy.asp 这里是连接地址

挂得都是一样的，其实有问题的就是
http://music.cctv.com/js/tool.js

左眼球 - 2008-11-27 0:48:00

RIS还行，还真给拦住了:default6:

零三 - 2008-11-27 0:53:00

暂时不用RIS太多问题被解决好

零三 - 2008-11-27 0:54:00

对了楼主,你检查其它页面了吗，好象有N个页面被挂了
哪个CCTV的财经页面也被挂了

左眼球 - 2008-11-27 1:10:00

的确太多了，所有挂http://music.cctv.com/js/tool.js这个脚本的都有问题了:default3:

艾玛 - 2008-11-27 8:11:00

CCTV内部有机器中毒了吧

左眼球 - 2008-11-27 10:33:00

引用:

原帖由艾玛于 2008-11-27 8:11:00 发表
CCTV内部有机器中毒了吧

估计是，不过今天早上再去看已经没问题了
那个问题js已经被改正了

瑞星卡卡安全论坛