有一个站被挂马很长时间了,前台页面的马被清掉,但后台的马一直找不到,实在不舒服,准备将这个站自杀掉,但又不甘心,决定再找一次。
花了四个多小时,终于找到了,现贴出来提醒大家注意,大家一定不要点马所在的网址,除非你安装了杀毒软件,光一个360是不行的。
先看这一段代码:
注意其中的'http://www.w3og.cn/org',这是木马网页地址。很有欺骗性,我找过很多次都没注意到。服务器好象是四川乐山电信的,我几乎要拿我自己的服务器与之同归于荆
再强调一下,贴出来不是要害你啊,不要乱点。
Domain Name: w3og.cn
ROID: 20080213s10001s70391079-cn
Domain Status: ok
Registrant Organization: 陈强
Registrant Name: 陈强
Administrative Email: zhuya22@126.com
Sponsoring Registrar: 北京新网数码信息技术有限公司
Name Server:ns2.xinnet.cn
Name Server:ns2.xinnetdns.com
Registration Date: 2008-02-13 17:16
Expiration Date: 2011-02-13 17:16
http://www.zjedu.gov.cn/TzemailA ... 277010f71e2c65c0027
电子邮件: zhuya22@126.com
联系电话: 0577658796549
联系地址: 电风扇士大夫
提交时间: 2006-12-11
主题: 这样的设施也能办大学???
建议内容: 温职院INTERNET网硬件设施太差 每栋宿舍楼网速一直以来比拨号
上网还慢 ,根本不能满足大学生对TNTER网的需求
交了30元/月的网费却只能上垃圾网络,收了我们的血汗钱却不干人事,气人兮
气人,
学校机房既小又差,还1。5元/小时,我靠 这也叫大学吗??我们学剩
上网只能跑正上的网吧,远又网费又贵,很多同学为了省钱只能玩通宵
温职院的网络设施根本不行,不知道评估团怎么办事的
可笑的是学校还想评全国十大优秀高职 丢死人了
请注意这个公司长沙智之星软件有限公司www.zzstar.cn,这个木马一直为这个站带流量,如果是被陷害的,那还情有可原。如果是同挂马者合作的话,严重鄙视。总经理:廖某某(不贴名字了)
公 司 地 址: 长沙市麓山南路343号(矿山研究院内)902室
联 系 电 话: 0731-2173510 (0)13787116266
邮 政 编 码: 410012
电 子 邮 箱: zzstar888@126.com zzstar168@163.com
公 司 网 址:www.zzstar.cn www.macrorise.com
业务联系QQ:7428377 165635301
另一个受害者的文章:今天学生处的人说他们网页打开就提示有病毒。上去看了一下,果然,打开之后ie有打开其他网页的动作,浏览器很卡,然后跳出一个RealPlayer的窗口,Nod32提示
2008-4-18 16:21:09 HTTP 过滤器 文件 http://user1.33216.net/bak.css Win32/TrojanDownloader.Small.OBJ 特洛伊木马 连接中断 - 已隔离 NICAdministrator 通过应用程序访问 web 时检测到威胁: C:Program FilesMaxthon2Maxthon.exe.
于是开始检查。
费了一番功夫,就不多说了,直接进入主题。
打开Ethereal,对tcp 80端口进行监测,打开Firefox,并清除缓存(如果不清除可能造成不能完全打开)。
完全打开页面后,关闭监测。进行查看。
按照理论来说,应该只有本机与服务器之间的通信,哪么其他IP地址的通信就很可以了。
果然,看到了61.174.63.178这个IP(www.w3og.cn/org),使用Ethereal可以看到具体的URL。
使用FF打开这个网页。
页面是空白的,查看源代码内容如下:
www.w3og.cn/org/
document.write("")
顺藤摸瓜:
其中
www.zzstar.cb/reg/w30.htm
是51yes的一个统计。
http://abc1.315666.net/s22.html
第二个页面也是统计,第一个页面就是病毒了。
再次使用FF打开,查看源代码:
很显然,这个就是病毒源代码了。加密了而且,不管他了。
另外注意到,
http://www.51.la/report/0_help.asp?id=1793783&err=4&help=2
可以看到统计名称。不就是为了一点流量,做这些犯罪的事情,何必呢?
1、使用FF Ethereal。FF不会被这些漏洞利用,而IE基本是一打开就死了。
2、上传的漏洞位于xgcAD2008041.js,应该是用的动易的漏洞上传的。
3、搜索w3og.cn,基本搜索到的网页,google都会提示是恶意网站...
拥有这个W3og.cn的人的注册信息:
Domain Name: w3og.cn ROID: 20080213s10001s70391079-cn Domain Status: ok Registrant Organization: 陈强 Registrant Name: 陈强 Administrative Email: zhuya22@126.com Sponsoring Registrar: 北京新网数码信息技术有限公司 Name Server:ns2.xinnet.cn Name Server:ns2.xinnetdns.com Registration Date: 2008-02-13 17:16 Expiration Date: 2011-02-13 17:16
这个w3og.cn和zzstar(一家建站公司)显然是有关系的,要不然也不会再木马里面挂上zzstar的流量统计...
