今天我访问网易，CSDN卡巴有时会报木马

显示全部楼层 · 发表于 2016-3-21 11:38:26

卡巴没有误报，目测可能是网易和CSDN上的广告内容被植入恶意代码了。

显示全部楼层 · 发表于 2016-3-21 16:14:28

本帖最后由 Wesly.Zhang 于 2016-3-21 16:25 编辑

Hello，

DNS污染了，污染的网址有指向 http://s5.davidfang.cn 发送统计信息。然后查询了下这个网站，然后调查了一下王霄霄这个注册者，然后就震惊了。

http://whois.chinaz.com/?DomainName=s5.davidfang.cn&ws=

http://whois.chinaz.com/reverse? ... amp;ddlSearchMode=2

s.js 使用 eval 加密，解密后的代码比较蛋疼...不太想看，变量名都是随机字符串，混淆的蛮彻底的。以下截取部分防止该帖子被卡巴斯基检测进而无法访问。

[mw_shl_code=css,true]var c36d3f81 = new Array( - 1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, 62, -1, -1, -1, 63, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, -1, -1, -1, -1, -1, -1, -1, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, -1, -1, -1, -1, -1, -1, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, -1, -1, -1, -1, -1);
function bd7d9aa0(O1847d52) {
var O31e9abc, cf48cc17, eadc81fb, O4489413;
var b74374ef, bfa14f5e, O8f2f6e7;
bfa14f5e = O1847d52["length"];
b74374ef = 0;[/mw_shl_code]

显示全部楼层 · 发表于 2016-3-21 16:42:47

Wesly.Zhang 发表于 2016-3-21 16:14
Hello，

DNS污染了，污染的网址有指向 http://s5.davidfang.cn 发送统计信息。然后查询了下这个网站，然 ...

我用的114和谷歌的DNS，难道是谷歌DNS被墙污染造成的？

显示全部楼层 · 发表于 2016-3-21 16:47:20

styleag 发表于 2016-3-21 16:42
我用的114和谷歌的DNS，难道是谷歌DNS被墙污染造成的？

114早就不是处女了

显示全部楼层 · 发表于 2016-3-21 16:48:44

pal家族发表于 2016-3-21 16:47
114早就不是处女了

求推荐安全的DNS服务器

显示全部楼层 · 发表于 2016-3-21 17:07:50

styleag 发表于 2016-3-21 16:48
求推荐安全的DNS服务器

这个真没有，谷歌速度慢但是安全。。。。。。
国内百度阿里的dns，估计一个样

显示全部楼层 · 发表于 2016-3-21 17:12:08

styleag 发表于 2016-3-21 16:48
求推荐安全的DNS服务器

Hello，

http://oicwx.com/detail/807394，http注入也可能的，现在不知道是 DNS 劫持还是 http 注入的问题，你那里没有抓包无法分析出原因。

显示全部楼层 · 发表于 2016-3-22 05:44:58

本帖最后由 styleag 于 2016-3-22 05:49 编辑

Wesly.Zhang 发表于 2016-3-21 17:12
Hello，

http://oicwx.com/detail/807394，http注入也可能的，现在不知道是 DNS 劫持还是 http 注入的 ...

又报木马了，这回网址换了，不过域名所有人还是“王霄霄”。话说这个JS文件是不是木马，如果是误报的话，我把卡巴网页启发调低了算了。

[mw_shl_code=css,true]21.03.2016 20.40.53;检测到对象（文件）。;http://m16.lawerclub.com.cn/jdb/ ... b/97526.js;Internet Explorer;木马程序;03/21/2016 20:40:53
[/mw_shl_code]

显示全部楼层 · 发表于 2016-3-22 09:19:13

styleag 发表于 2016-3-22 05:44
又报木马了，这回网址换了，不过域名所有人还是“王霄霄”。话说这个JS文件是不是木马，如果是误报的话 ...

应该不是误报。

[交流探讨] 今天我访问网易，CSDN卡巴有时会报木马

评分