搜捕论坛bbs.51sobu.com (挂马)

花间酒

以往挂过好多次了，现在挂的不同。。
未完全解密
另外发现REDOCE在Unicode清除时，又是会误把字符和最后的分号调转过来

关于:hxxp://bbs.51sobu.com/include/javascript/common.js解密的日志(全体输出-  48):

Level  3>http://sadsae3.cn/08/0008.htm?22
Level  4>http://img.tongji.linezing.com/1116244/tongji.php
Level  4>http://js.tongji.linezing.com/1116244/tongji.js
Level  5>http://js.tongji.linezing.com/1116244/+_st_dest+
Level  4>http://sadsae3.cn/08/index.html
Level  5>http://sadsae3.cn/08/ct122121.htm
Level  5>http://sadsae3.cn/08/ctlb.htm
Level  5>http://sadsae3.cn/08/ctqm.htm
Level  5>http://sadsae3.cn/08/ctxxz.htm
Level  5>http://sadsae3.cn/08/ctvod.htm
Level  5>http://sadsae3.cn/08/z.htm
Level  5>http://sadsae3.cn/08/ctfl.htm
Level  5>http://sadsae3.cn/08/ct14.htm
Level  2>http://bbs.51sobu.com/include/javascript/seccode.php?update=
Level  1>http://bbs.51sobu.com/include/javascript/common.js
Level  1>http://www.cnv.org.cn/pop.gif?mjj
Level  2>http://sadsae3.cn/08/0008.htm?22
Level  3>http://img.tongji.linezing.com/1116244/tongji.php
Level  3>http://js.tongji.linezing.com/1116244/tongji.js
Level  3>http://sadsae3.cn/08/index.html
Level  4>http://sadsae3.cn/08/ct122121.htm
Level  5>http://sadsae3.cn/08/real1.js
Level  5>http://sadsae3.cn/08/real.js
Level  5>http://sadsae3.cn/08/turl.js
Level  4>http://sadsae3.cn/08/ctlb.htm
Level  4>http://sadsae3.cn/08/ctqm.htm
Level  5>http://ddggbb.cn/e8.exe
Level  4>http://sadsae3.cn/08/ctxxz.htm
Level  5>http://sadsae3.cn/08/092.js
Level  5>http://sadsae3.cn/08/091.js
Level  4>http://sadsae3.cn/08/ctvod.htm
Level  5>http://sadsae3.cn/08/d.js
Level  5>http://sadsae3.cn/08/b.js
Level  5>http://sadsae3.cn/08/ytvod.js
Level  4>http://sadsae3.cn/08/z.htm
Level  5>http://sadsae3.cn/08/z.css
Level  5>http://sadsae3.cn/08/do.css
Level  6>http://ddggbb.cn/e8.exe
Level  4>http://sadsae3.cn/08/ctfl.htm
Level  5>http://sadsae3.cn/08/ct11.htm
Level  5>http://sadsae3.cn/08/ct22.htm
Level  5>http://sadsae3.cn/08/ct11.htm
Level  4>http://sadsae3.cn/08/ct14.htm
Level  5>http://sadsae3.cn/08/16.js
Level  5>http://sadsae3.cn/08/15.js
Level  5>http://sadsae3.cn/08/14.js
Level  6>http://ddggbb.cn/e8.exe
Level  1>http://www.linezing.com

日志由 Redoce1.8第112次修正版于 2009-06-28 下午 05:18:19 生成。

eval(p,a,c,k,e,d)这种我不大会处理,还好有个直接翻出来小马链接

好像乱了

[ 本帖最后由 lunglungyu 于 2009-6-28 17:33 编辑 ]

ljy881227

[2009-06-27 18:56:36] 发现iexplore.exe试图访问:http://code.feichang71.com/code/468_60_042201.html?id=468_60_042201&webownerId=17881&childid=10000，该页面含有欺诈内容，已被成功阻止！
[2009-06-28 18:02:22] 发现iexplore.exe试图利用漏洞伪造签名，已被成功阻止！
[2009-06-28 18:02:22] 成功阻止iexplore.exe访问http://sadsae3.cn/08/z.htm，此页面含有缓冲区攻击恶意代码
[2009-06-28 18:02:23] 成功阻止iexplore.exe访问http://sadsae3.cn/08/ctvod.htm，此页面含有缓冲区攻击恶意代码