欢迎来到福编程网,本站提供各种互联网专业知识!

站长小心:大家注意这一个挂马的

发布时间:2016-08-29 作者:佚名 来源:互联网
有一个站被挂马很长时间了,前台页面的马被清掉,但后台的马一直找不到,实在不舒服,准备将这个站自杀掉,但又不甘心,决定再找一次。花了四个多小时,终于找到了,现贴出来提醒大家注意,大家一定不要点马所在的网址,除非你安装了杀毒软件,光一个360是不

有一个站被挂马很长时间了,前台页面的马被清掉,但后台的马一直找不到,实在不舒服,准备将这个站自杀掉,但又不甘心,决定再找一次。

花了四个多小时,终于找到了,现贴出来提醒大家注意,大家一定不要点马所在的网址,除非你安装了杀毒软件,光一个360是不行的。

先看这一段代码:

注意其中的'http://www.w3og.cn/org',这是木马网页地址。很有欺骗性,我找过很多次都没注意到。服务器好象是四川乐山电信的,我几乎要拿我自己的服务器与之同归于荆

再强调一下,贴出来不是要害你啊,不要乱点。

Domain Name: w3og.cn

ROID: 20080213s10001s70391079-cn

Domain Status: ok

Registrant Organization: 陈强

Registrant Name: 陈强

Administrative Email: zhuya22@126.com

Sponsoring Registrar: 北京新网数码信息技术有限公司

Name Server:ns2.xinnet.cn

Name Server:ns2.xinnetdns.com

Registration Date: 2008-02-13 17:16

Expiration Date: 2011-02-13 17:16

http://www.zjedu.gov.cn/TzemailA ... 277010f71e2c65c0027

电子邮件: zhuya22@126.com

联系电话: 0577658796549

联系地址: 电风扇士大夫

提交时间: 2006-12-11

主题: 这样的设施也能办大学???

建议内容: 温职院INTERNET网硬件设施太差 每栋宿舍楼网速一直以来比拨号

上网还慢 ,根本不能满足大学生对TNTER网的需求

交了30元/月的网费却只能上垃圾网络,收了我们的血汗钱却不干人事,气人兮

气人,

学校机房既小又差,还1。5元/小时,我靠 这也叫大学吗??我们学剩

上网只能跑正上的网吧,远又网费又贵,很多同学为了省钱只能玩通宵

温职院的网络设施根本不行,不知道评估团怎么办事的

可笑的是学校还想评全国十大优秀高职 丢死人了

请注意这个公司长沙智之星软件有限公司www.zzstar.cn,这个木马一直为这个站带流量,如果是被陷害的,那还情有可原。如果是同挂马者合作的话,严重鄙视。总经理:廖某某(不贴名字了)

公 司 地 址: 长沙市麓山南路343号(矿山研究院内)902室

联 系 电 话: 0731-2173510 (0)13787116266

邮 政 编 码: 410012

电 子 邮 箱: zzstar888@126.com zzstar168@163.com

公 司 网 址:www.zzstar.cn www.macrorise.com

业务联系QQ:7428377 165635301

另一个受害者的文章:今天学生处的人说他们网页打开就提示有病毒。上去看了一下,果然,打开之后ie有打开其他网页的动作,浏览器很卡,然后跳出一个RealPlayer的窗口,Nod32提示

2008-4-18 16:21:09 HTTP 过滤器 文件 http://user1.33216.net/bak.css Win32/TrojanDownloader.Small.OBJ 特洛伊木马 连接中断 - 已隔离 NICAdministrator 通过应用程序访问 web 时检测到威胁: C:Program FilesMaxthon2Maxthon.exe.

于是开始检查。

费了一番功夫,就不多说了,直接进入主题。

打开Ethereal,对tcp 80端口进行监测,打开Firefox,并清除缓存(如果不清除可能造成不能完全打开)。

完全打开页面后,关闭监测。进行查看。

按照理论来说,应该只有本机与服务器之间的通信,哪么其他IP地址的通信就很可以了。

果然,看到了61.174.63.178这个IP(www.w3og.cn/org),使用Ethereal可以看到具体的URL。

使用FF打开这个网页。

页面是空白的,查看源代码内容如下:

www.w3og.cn/org/

document.write("

")

document.write("")

document.write("")

document.write("

")

顺藤摸瓜:

其中

www.zzstar.cb/reg/w30.htm

是51yes的一个统计。

http://abc1.315666.net/s22.html

第二个页面也是统计,第一个页面就是病毒了。

再次使用FF打开,查看源代码:

很显然,这个就是病毒源代码了。加密了而且,不管他了。

另外注意到,

http://www.51.la/report/0_help.asp?id=1793783&err=4&help=2

可以看到统计名称。不就是为了一点流量,做这些犯罪的事情,何必呢?

1、使用FF Ethereal。FF不会被这些漏洞利用,而IE基本是一打开就死了。

2、上传的漏洞位于xgcAD2008041.js,应该是用的动易的漏洞上传的。

3、搜索w3og.cn,基本搜索到的网页,google都会提示是恶意网站...

拥有这个W3og.cn的人的注册信息:

Domain Name: w3og.cn ROID: 20080213s10001s70391079-cn Domain Status: ok Registrant Organization: 陈强 Registrant Name: 陈强 Administrative Email: zhuya22@126.com Sponsoring Registrar: 北京新网数码信息技术有限公司 Name Server:ns2.xinnet.cn Name Server:ns2.xinnetdns.com Registration Date: 2008-02-13 17:16 Expiration Date: 2011-02-13 17:16

这个w3og.cn和zzstar(一家建站公司)显然是有关系的,要不然也不会再木马里面挂上zzstar的流量统计...

相关推荐