网站不定时以网页形式给用户弹出“去哪儿”网站，求助。。 bbs.ikaka.com

unnyfan - 2012-4-11 9:55:00

各位大侠，最近发现浏览我的网站，会不定时弹出“去哪儿”恶意页面。

1.不是每次打开主页都弹出
2.打开主页后没有弹出，然后没有任何操作放在那里，下午去看就弹出来了。。。
3.没有发现规律，也没有找到触发事件。（唯一算规律的应该是下午弹出几率比较大）。
4.代码检测都是正常的。

另问，瑞星联盟监控网站怎么检测了一晚还在检测中，是不是我有什么地方弄错了。

由于瑞星联盟没有数据，先上一个360的检测结果图吧

附件: ruixing.png

networkedition - 2012-4-11 9:58:00

网站地址是：http://3dlvyou.com吧？为啥打开只有瑞星云安全网站联盟的检测图标？

unnyfan - 2012-4-11 10:30:00

袄，我先面有好几个网站，而且不在同一个ip上，我在瑞星只能输入3dlvyou.com, 不然首页域名处就报二级域名不合法。

我想检测的域名是 test.3dlvyou.com

networkedition - 2012-4-11 10:47:00

是不是弹出这个页面：aclick9.wisemediakcl.com/12032111.html

networkedition - 2012-4-11 11:08:00

lz还在不在，弹出那个网页原因已经找到了

unnyfan - 2012-4-11 11:19:00

引用:

原帖由 networkedition 于 2012-4-11 11:08:00 发表
lz还在不在，弹出那个网页原因已经找到了

谢谢你费心看我的帖子。请问什么原因啊，那个网址记不清了，上次等弹窗口的时候把记录清掉了，只记得是加过密的转换过来的。求找原因的方法。。

networkedition - 2012-4-11 11:23:00

到网站服务器上查找一个这个js文件看有没有：bc_321_pop.js
这个地址：aclick9.wisemediakcl.com/12032111.html 打开就是去哪儿网的机票查询页面。不知道是不是你说的那个“网站不定时以网页形式给用户弹出“去哪儿”网站”

unnyfan - 2012-4-11 11:31:00

引用:

原帖由 networkedition 于 2012-4-11 11:23:00 发表
到网站服务器上查找一个这个js文件看有没有：bc_321_pop.js
这个地址：aclick9.wisemediakcl.com/12032111.html 打开就是去哪儿网的机票查询页面。不知道是不是你说的那个“网站不定时以网页形式给用户弹出“去哪儿”网站”

是这样的网页，但是我在服务器上找不到bc_321_pop.js这个文件啊，顺便求查找原因方法和少许经验。。多谢networkedition。。。。

networkedition - 2012-4-11 13:04:00

211.144.95.196这个ip是你网站的吗？网站服务器上有这个文件re.php么？

unnyfan - 2012-4-11 13:17:00

引用:

原帖由 networkedition 于 2012-4-11 13:04:00 发表
211.144.95.196这个ip是你网站的吗？网站服务器上有这个文件re.php么？

不是的，我的ip是211.144.76.131

re.php也没有难道域名被劫持了。。

unnyfan - 2012-4-11 13:17:00

难道被劫持了。。。

networkedition - 2012-4-11 13:34:00

通过抓包工具分析，访问你的网站会定向到这里：

00:00:00.000 飞毯3D旅游网: 全球首家在线旅游的3D景点旅游社区
+ 0.000 4.243 439 31156 GET 200 text/html;charset=utf-8 http://www.3dlvyou.com/
+ 4.239 0.125 514 796 GET 302 Redirect to http://hub2.izptech.com/re/re.php?src=t0035&t=%E9%A3%9E%E6%AF%AF3D%E6%97%85%E6%B8%B8%E7%BD%91%3A%20%E5%85%A8%E7%90%83%E9%A6%96%E5%AE%B6%E5%9C%A8%E7%BA%BF%E6%97%85%E6%B8%B8%E7%9A%843D%E6%99%AF%E7%82%B9%E6%97%85%E6%B8%B8%E7%A4%BE%E5%8C%BA&ci=3673675772 http://211.144.95.196/re/re.php?src=t0035&t=%E9%A3%9E%E6%AF%AF3D%E6%97%85%E6%B8%B8%E7%BD%91%3A%20%E5%85%A8%E7%90%83%E9%A6%96%E5%AE%B6%E5%9C%A8%E7%BA%BF%E6%97%85%E6%B8%B8%E7%9A%843D%E6%99%AF%E7%82%B9%E6%97%85%E6%B8%B8%E7%A4%BE%E5%8C%BA&ci=3673675772

而http://211.144.95.196/re/re.php?src=t0035&t=%E9%A3%9E%E6%AF%AF3D%E6%97%85%E6%B8%B8%E7%BD%91%3A%20%E5%85%A8%E7%90%83%E9%A6%96%E5%AE%B6%E5%9C%A8%E7%BA%BF%E6%97%85%E6%B8%B8%E7%9A%843D%E6%99%AF%E7%82%B9%E6%97%85%E6%B8%B8%E7%A4%BE%E5%8C%BA&ci=3673675772
的内容为：

[复制到剪贴板]

CODE:

document.write("<script language='javascript' src='http://tstatic.izptech.com/re/ad/bc_321_pop.js'><\/script>");

bc_321_pop.js的内容见下图：

unnyfan - 2012-4-11 13:57:00

请问这种问题怎么解决啊。

networkedition - 2012-4-11 15:18:00

先看一下是不是服务器所在网络环境有arp攻击。

unnyfan - 2012-4-11 17:03:00

查了一下没有的，arp只有我的两台机器和网关，ip对应的我的两台机器mac也是对的

networkedition - 2012-4-11 17:09:00

那就再看看dns什么的吧:kaka9:

unnyfan - 2012-4-11 17:28:00

查了一下没有的，arp只有我的两台机器和网关，ip对应的我的两台机器mac也是对的，网关的不确定，根据你的提示我也抓了N次包，发现两个域名（网站在两个机器上）都有事出现这种连接，有时没有，是不是说明机房的网络安全有问题。还是有其他可能，如果是机房网络问题，我该如何处理，可以再自己服务器上做什么设置避免这种情况。

ps：服务器所在机房的掩码是 255.255.255.0的，只有我10个ip。

dns是域名所在的dns服务器还是服务器指向的dns。。。。

-----------------------------------------------------------------------------

我把服务器的dns去掉了，用的hosts绑定了域名。。。。还是出现这种外部定向

networkedition - 2012-4-12 9:29:00

建议咨询一下网络运营商吧，客户端可以通过hosts屏蔽，hosts加如下内容：
127.0.0.1 hub2.izptech.com
127.0.0.1 tstatic.izptech.com

beyond1851 - 2012-4-26 14:22:00

你好我们公司的网站也出现相同的情况，请问解决了吗？

瑞星卡卡安全论坛