瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 版主们分析这个挂马吧:http://bbs.51edu.com/
redbsd - 2009-9-9 21:02:00
我找了很长时间,也没找出所挂的马,所使用的工具是FRESHOW和REDOCE。

版主找一下这个马吧,如果找到了,说一下方法,呵呵。3Q

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2
induooo - 2009-9-9 21:46:00
未发现挂马
redbsd - 2009-9-9 22:02:00
有挂马地址,
induooo - 2009-9-9 22:56:00
:kaka6: 那你给我个地址吧
我沙盘运行都没发现下载下什么东西
virussec - 2009-9-9 23:28:00
该用户帖子内容已被屏蔽
redbsd - 2009-9-10 9:42:00
这个http://1.z88b.com/t.js
链接,就是从http://bbs.51edu.com/找出来的,可是我就没找到。
networkedition - 2009-9-10 10:36:00
看了一下那个js的源代码,应该是利用搜索引擎,如通过百度搜索引擎搜索网站再访问后,才会中招。论坛首页未见异常,其它链接页面就不太好说了。还有就是已经清除了。
redbsd - 2009-9-10 11:01:00
networkedition 版主终于来了,谢谢。
版主是通过哪个地方辨认出是通过“利用搜索”来达到中招的目的;还是并没有清除啊,你看一下:
Log is generated by FreShow.
[wide]http://1.z88b.com/t.js
    [frame]http://444sadg.3322.org/kuaile/14.htm
    [frame]http://444sadg.3322.org/kuaile/14.htm
    [frame]http://444sadg.3322.org/kuaile/14.htm
        [script]http://w2dge.cn/x59/091.js
        [script]http://w2dge.cn/x59/092.js
        [frame]http://w2dge.cn/x59/xx.html
            [frame]http://w2dge.cn/x59/Td14.htm
            [frame]http://w2dge.cn/x59/yt.htm
            [frame]http://w2dge.cn/x59/td09.htm
                [script]http://w2dge.cn/x59/091.js
                    [object]http://d.cxdde.com/xx/x59.css
                [script]http://w2dge.cn/x59/092.js
            [frame]http://w2dge.cn/x59/yut.htm
        [script]http://js.tongji.linezing.com/1240689/tongji.js
    [frame]http://444sadg.3322.org/kuaile/14.htm
    [frame]http://444sadg.3322.org/kuaile/14.htm
    [frame]http://444sadg.3322.org/kuaile/14.htm
    [frame]http://444sadg.3322.org/kuaile/14.htm
    [frame]http://444sadg.3322.org/kuaile/14.htm
    [frame]http://444sadg.3322.org/kuaile/14.htm
    [frame]http://444sadg.3322.org/kuaile/14.htm
induooo - 2009-9-10 11:13:00


引用:
var p=url.toLowerCase().indexOf("www.baidu.com");
if (p>0)
{
document.writeln("");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf("www.google.cn");
if (p>0)
{
document.writeln("");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf("www.sogou.com");
if (p>0)
{
document.writeln("");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf("www.soso.com");
if (p>0)
{
document.writeln("");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf("114search.118114.cn");
if (p>0)
{
document.writeln("");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf("cn.bing.com");
if (p>0)
{
document.writeln("");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf("www.yahoo.cn");
if (p>0)
{
document.writeln("");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf("www.youdao.com");
if (p>0)
{
document.writeln("");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf("one.cn.yahoo.com");
if (p>0)
{
document.writeln("");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf("search.114.vnet.cn");
if (p>0)
{
document.writeln("");
}

从上往下依次是百度,谷歌,sogou,等
至于没发现是因为清除了
networkedition - 2009-9-10 11:22:00
论坛源代码中没有呀:kaka6: 估计已经清除了,看9楼的源代码吧
redbsd - 2009-9-10 11:23:00
哦,但只清除了部分吧,上面我发的那个链接就是刚才过滤出来的。[object]http://d.cxdde.com/xx/x59.css
networkedition - 2009-9-10 11:25:00
你直接分析的是js呀,哪个js没有失效呀:kaka6: ,但是网站论坛挂在哪个位置呢?我是没有找到:kaka7:
redbsd - 2009-9-10 11:37:00
谢谢大家的回复,呵呵。
石门老顽童 - 2009-9-12 15:33:00
看不太懂
1
查看完整版本: 版主们分析这个挂马吧:http://bbs.51edu.com/
© 2000 - 2025 Rising Corp. Ltd.