hxxp://vvk2.cn[挂马][by aarwwefdds]

显示全部楼层 · 发表于 2008-12-22 13:39:23

w

http://www.securecomputing.com.cn/
应该是从这个网站转到的vvk2.cn

我在这里做出的第一个挂马诊断，以前在这里都是作出未挂马诊断
关于:hxxp://vvk2.cn/解密的日志(全体输出-  21):
Level 0>http://vvk2.cn/
Level 1>http://wm.sllbqsb.cn/a1/ilink.html
Level 1>http://wm.sllbqsb.cn/a1/flink.html
Level 1>http://www.zgcgssllf.cn/b2.htm
Level 2>http://wm.sllbqsb.cn/a1/fxx.htm
Level 3>http://wm.sllbqsb.cn/a1/../a1/real.html
Level 4>http://down.erhaha2.cn/new/a1.css  ●
Level 3>http://wm.sllbqsb.cn/a1/../a1/real.htm
Level 4>http://down.erhaha2.cn/new/a1.css  ●
Level 3>http://wm.sllbqsb.cn/a1/../a1/glworld.html
Level 4>http://down.erhaha2.cn/new/a1.css  ●
Level 3>http://wm.sllbqsb.cn/a1/../a1/bfyy.htm
Level 3>http://wm.sllbqsb.cn/a1/../a1/no.htm
Level 4>http://down.erhaha2.cn/new/a1.css  ●
Level 3>http://wm.sllbqsb.cn/a1/../a1/sina.htm
Level 4>http://down.erhaha2.cn/new/a1.css  ●
Level 3>http://wm.sllbqsb.cn/a1/../a1/ms06014.htm
Level 4>http://down.erhaha2.cn/new/a1.css  ●
Level 3>http://wm.sllbqsb.cn/a1/../a1/ss.htm（不搞复杂加密了）
Level 4>http://down.erhaha2.cn/down/ko.exe  ●
Level 3>http://wm.sllbqsb.cn/a1/fx.htm

[ 本帖最后由 lanvin 于 2008-12-22 13:59 编辑 ]

显示全部楼层 · 发表于 2008-12-22 13:50:36

网页分析结果如下(250662772).
[wide]http://vvk2.cn
[frame]http://wm.sllbqsb.cn/a1/ilink.html
      [script]http://wm.sllbqsb.cn/a1/swfobject.js
[frame]http://wm.sllbqsb.cn/a1/flink.html
[frame]http://www.zgcgssllf.cn/b2.htm
      [frame]http://wm.sllbqsb.cn/a1/fxx.htm
         [frame]http://wm.sllbqsb.cn/a1/fx.htm
            [frame]http://wm.sllbqsb.cn/a1/Ilink.html
            [frame]http://wm.sllbqsb.cn/a1/flink.html
         [frame]http://wm.sllbqsb.cn/a1/../a1/ss.htm
            [object]http://down.erhaha2.cn/down/ko.exe
         [frame]http://wm.sllbqsb.cn/a1/../a1/Ms06014.htm
            [object]http://down.erhaha2.cn/new/a1.css
         [frame]http://wm.sllbqsb.cn/a1/../a1/sina.htm
            [object]http://down.erhaha2.cn/new/a1.css
         [frame]http://wm.sllbqsb.cn/a1/../a1/no.htm
            [object]http://down.erhaha2.cn/new/a1.css
         [frame]http://wm.sllbqsb.cn/a1/../a1/bfyy.htm
         [frame]http://wm.sllbqsb.cn/a1/../a1/GLWORLD.html
            [object]http://down.erhaha2.cn/new/a1.css
         [frame]http://wm.sllbqsb.cn/a1/../a1/real.htm
            [object]http://down.erhaha2.cn/new/a1.css
         [frame]http://wm.sllbqsb.cn/a1/../a1/real.html
            [object]http://down.erhaha2.cn/new/a1.css
      [script]http://js.tongji.cn.yahoo.com/857114/ystat.js

显示全部楼层 · 发表于 2008-12-22 13:52:24

不过问题是
貌似是这个网站被挂了这个

Secure Computing 網址 www.securecomputing.com.cn
Secure Computing公司作爲Honeywell公司子公司成立於1974年，目的是應美國政府的要求爲最早的互聯網網絡雛形(ARPANet)提供安全方案。1989年，Secure Computing 公司脫離Honeywell成立研究中心，爲美國國家安全局及相關政府部門研發核心安全係統。隨後，他們將這些技術商品化並投入市場，取得巨大的成功，其産品線包括，其産品線包括身份認證係統、防火牆及網頁內容過濾係統，涵蓋了大型企業安全要求的主要內容。Secure Computing 公司於1995年11月在成功上市。
作爲世界上高級別的網絡安全産品供應商，在過去的20年中，Secure Computing公司向全球提供基於網絡係統的賬號管理及身份認證平台、防火牆、網頁過濾係統及專業顧問服務等全面網絡安全解決方案等等

显示全部楼层 · 发表于 2008-12-22 13:58:54

网页分析结果如下(250662772).
[wide]http://www.securecomputing.com.cn/
[script]http://www.securecomputing.com.cn/page/user.asp?action=nav
      [script]http://%76%76%6B%32%2E%63%6E
      [script]http://%76%76%6B%32%2E%63%6E
         [frame]http://wm.sllbqsb.cn/a1/ilink.html
         [frame]http://wm.sllbqsb.cn/a1/flink.html
         [frame]http://%76%76%6B%32%2E%63%6E/http:\/\/www.zgcgssllf.cn\/b2.htm
      [script]http://%76%76%6B%32%2E%63%6E
         [frame]http://wm.sllbqsb.cn/a1/ilink.html
         [frame]http://wm.sllbqsb.cn/a1/flink.html
         [frame]http://www.zgcgssllf.cn/b2.htm
            [frame]http://wm.sllbqsb.cn/a1/fxx.htm
                  [frame]http://wm.sllbqsb.cn/a1/fx.htm
                  [frame]http://wm.sllbqsb.cn/a1/../a1/ss.htm
                  [frame]http://wm.sllbqsb.cn/a1/../a1/Ms06014.htm
                  [frame]http://wm.sllbqsb.cn/a1/../a1/sina.htm
                  [frame]http://wm.sllbqsb.cn/a1/../a1/no.htm
                  [frame]http://wm.sllbqsb.cn/a1/../a1/bfyy.htm
                  [frame]http://wm.sllbqsb.cn/a1/../a1/GLWORLD.html
                  [frame]http://wm.sllbqsb.cn/a1/../a1/real.htm
                  [frame]http://wm.sllbqsb.cn/a1/../a1/real.html
            [script]http://js.tongji.cn.yahoo.com/857114/ystet.js
      [script]http://%76%76%6B%32%2E%63%6E
[script]http://%76%76%6B%32%2E%63%6E
[script]http://%76%76%6B%32%2E%63%6E
[script]http://www.securecomputing.com.cn/page/count.asp?artid=&jobid=&topicid=
[script]http://%76%76%6B%32%2E%63%6E
[script]http://%76%76%6B%32%2E%63%6E

显示全部楼层 · 发表于 2008-12-22 14:01:03

我说呢，怎么你给的这个地址会是个纯挂马地址

显示全部楼层 · 发表于 2008-12-22 14:02:28

怎么都挂一个...
Log is generated by FreShow.
[wide]http://www.securecomputing.com.cn/
[script]http://www.securecomputing.com.cn/page/user.asp?action=nav
      [script]http://vvk2.cn
      [script]http://vvk2.cn
      [script]http://vvk2.cn
      [script]http://vvk2.cn
[script]http://vvk2.cn
[script]http://vvk2.cn
[script]http://www.securecomputing.com.cn/page/count.asp?artid=&jobid=&topicid=
      [script]http://vvk2.cn
      [script]http://vvk2.cn
      [script]http://vvk2.cn
      [script]http://vvk2.cn
      [script]http://www.securecomputing.com.cn/page/count.asp?action=count&url="+escape(document.referrer)+"
[script]http://vvk2.cn
[script]http://vvk2.cn

显示全部楼层 · 发表于 2008-12-22 14:04:53

Log is generated by FreShow.
[wide]http://www.securecomputing.com.cn
[script]http://www.securecomputing.com.cn/page/user.asp?action=nav
[script]http://%76%76%6B%32%2E%63%6E
      [frame]http://wm.sllbqsb.cn/a1/ilink.html
      [frame]http://wm.sllbqsb.cn/a1/flink.html
      [frame]http://%76%76%6B%32%2E%63%6E/http:\/\/www.zgcgssllf.cn\/b2.htm
[script]http://%76%76%6B%32%2E%63%6E
      [frame]http://wm.sllbqsb.cn/a1/ilink.html
      [frame]http://wm.sllbqsb.cn/a1/flink.html
      [frame]http://%76%76%6B%32%2E%63%6E/http:\/\/www.zgcgssllf.cn\/b2.htm
[script]http://www.securecomputing.com.cn/page/count.asp?artid=&jobid=&topicid=
[script]http://%76%76%6B%32%2E%63%6E
      [frame]http://wm.sllbqsb.cn/a1/ilink.html
      [frame]http://wm.sllbqsb.cn/a1/flink.html
      [frame]http://%76%76%6B%32%2E%63%6E/http:\/\/www.zgcgssllf.cn\/b2.htm
         [frame]http://wm.sllbqsb.cn/a1/fxx.htm
            [frame]http://wm.sllbqsb.cn/a1/fx.htm
                  [frame]http://wm.sllbqsb.cn/a1/Ilink.html
                  [frame]http://wm.sllbqsb.cn/a1/flink.html
            [frame]http://wm.sllbqsb.cn/a1/../a1/ss.htm
                  [object]http://down.erhaha2.cn/down/ko.exe
            [frame]http://wm.sllbqsb.cn/a1/../a1/Ms06014.htm
                  [object]http://down.erhaha2.cn/new/a1.css
            [frame]http://wm.sllbqsb.cn/a1/../a1/sina.htm
                  [object]http://down.erhaha2.cn/new/a1.css
            [frame]http://wm.sllbqsb.cn/a1/../a1/no.htm
                  [object]http://doWn.erhaha2.cn/nEw/a1.cSs
            [frame]http://wm.sllbqsb.cn/a1/../a1/bfyy.htm
            [frame]http://wm.sllbqsb.cn/a1/../a1/GLWORLD.html
                  [object]http://down.erhaha2.cn/new/a1.css
            [frame]http://wm.sllbqsb.cn/a1/../a1/real.htm
            [frame]http://wm.sllbqsb.cn/a1/../a1/real.html
                  [object]http://down.erhaha2.cn/new/a1.css
         [script]http://js.tongji.cn.yahoo.com/857114/ystat.js
[script]http://%76%76%6B%32%2E%63%6E
      [frame]http://wm.sllbqsb.cn/a1/ilink.html
      [frame]http://wm.sllbqsb.cn/a1/flink.html
      [frame]http://%76%76%6B%32%2E%63%6E/http:\/\/www.zgcgssllf.cn\/b2.htm

显示全部楼层 · 发表于 2008-12-22 14:06:45

原帖由 aarwwefdds 于 2008-12-22 14:01 发表

我说呢，怎么你给的这个地址会是个纯挂马地址

cn域名本来就是垃圾
用来做malware hoster就是很好的选择

Whois Record for Vvk2.cn

( vvk 2 ) [size=85%]Change Word Breaks

Front Page Information


Website Title:	None given.
AboutUs:	Wiki article on Vvk2.cn

Indexed Data

Registry DataCreated: 2008-12-13Expires: 2009-12-13Whois Server: whois.cnnic.net.cn

Server Data

IP Address:	121.14.152.154 Whois \| Reverse-IP \| Ping \| DNS Lookup \| Traceroute
IP Location	- Guangdong - Guangzhou - Chinanet Guangdong Province Network
Domain Status:	Registered And Active Website

Domain Name: vvk2.cn
ROID: 20081213s10001s10738725-cn
Domain Status: ok
Registrant Organization: 百度百度百度
Registrant Name: 百度
Administrative Email: [url=http://www.domaintools.com/registrant-search/?and[]=39462b91648b545e7eaf8e5640dccab5][img]http://source.domaintools.com/email.pgif?md5=39462b91648b545e7eaf8e5640dccab5&face=Atomic_Clock_Radio&size=7&color=000000&bgcolor=FFFFFF&format[]=transparent&face=Trebuchet&size=9&color=0000FF&bgcolor=FFFFFF&format[]=underline&format[]=transparent[/img][/url]
Sponsoring Registrar: 北京万网志成科技有限公司
Name Server:dns27.hichina.com
Name Server:dns28.hichina.com
Registration Date: 2008-12-13 12:02
Expiration Date: 2009-12-13 12:02

建议广大想买玉米的尽量买.com.cn .net 和.org

显示全部楼层 · 发表于 2008-12-23 08:35:50

原帖由 shmily512099 于 2008-12-22 14:04 发表
Log is generated by FreShow.
[wide]http://www.securecomputing.com.cn
[script]http://www.securecomputing.com.cn/page/user.asp?action=nav
[script]http://%76%76%6B%32%2E%63%6E
[frame] ...

你做的教程呢,分析挂马页面的,给个地址,学习学习.

[已鉴定] hxxp://vvk2.cn[挂马][by aarwwefdds]

回复 3楼 lanvin 的帖子