苍南论坛被挂马。

显示全部楼层 · 发表于 2009-8-29 10:11:20

地址信息来源于：http://bbs.kafan.cn/viewthread.php?tid=547874&page=1#pid9072988

Log is generated by FreShow.
[wide]http://bbs.cnlv.net/
[frame]http://rnljm.3322.org/1.htm
      [frame]http://kdf21.2288.org/jj/2.htm
         [frame]http://rh4df.cn/x13/xx.html
            [frame]http://rh4df.cn/x13/Td14.htm
                  [script]http://rh4df.cn/x13/14.js
                     [object]http://d.bgsew.com/xx/x13.css
                  [script]http://rh4df.cn/x13/15.js
                  [script]http://rh4df.cn/x13/16.js
            [frame]http://rh4df.cn/x13/yt.htm
                  [script]http://rh4df.cn/x13/a.jpg
                  [script]http://rh4df.cn/x13/b.jpg
                  [script]http://rh4df.cn/x13/url.jpg
                     [object]http://d.bgsew.com/xx/x13.css
                  [script]http://rh4df.cn/x13/c.jpg
                  [script]http://rh4df.cn/x13/d.jpg
                  [script]http://rh4df.cn/x13/e.jpg
                  [script]http://rh4df.cn/x13/f.jpg
            [frame]http://rh4df.cn/x13/dxxz.htm
                  [script]http://rh4df.cn/x13/091.js
                     [object]http://d.bgsew.com/xx/x13.css
                  [script]http://rh4df.cn/x13/092.js
            [frame]http://rh4df.cn/x13/yut.htm
                  [frame]http://rh4df.cn/x13/ytfl.htm
                  [frame]http://rh4df.cn/x13/ytfl1.htm
                     [frame]http://rh4df.cn/x13/y1.htm
                        [script]http://rh4df.cn/x13/swfobject.js
                     [frame]http://rh4df.cn/x13/t2.htm
                     [frame]http://rh4df.cn/x13/y1.htm
                  [frame]http://rh4df.cn/x13/of.htm
                     [script]http://rh4df.cn/x13/of.js
                        [object]http://d.bgsew.com/xx/x13.css
                     [script]http://rh4df.cn/x13/of1.css
                     [script]http://rh4df.cn/x13/of.css

[ 本帖最后由 tanlimo 于 2009-8-29 10:13 编辑 ]

显示全部楼层 · 发表于 2009-8-29 10:26:59

原始 - http://bbs.cnlv.net/
扫描式跨站分析 - 原始 - http://
扫描式跨站分析 - 原始 - http://'+v+
扫描式跨站分析 - 原始 - http://'+v+
扫描式跨站分析 - 原始 - http://'+v+d+
扫描式跨站分析 - 原始 - 可疑 - http://%72%6E%6C%6A%6D%2E%33%33%32%32%2E%6F%72%67/1.htm
扫描式跨站分析 - 原始 - http://pagead2.googlesyndication.com/pagead/show_ads.js
开始自动解析 - http://%72%6E%6C%6A%6D%2E%33%33%32%32%2E%6F%72%67/1.htm
L1 - http://kdf21.2288.org/jj/2.htm
L2 - http://rh4df.cn/x13/xx.html
L3 - http://rh4df.cn/x13/Td14.htm
L3 - http://rh4df.cn/x13/yt.htm
L3 - http://rh4df.cn/x13/dxxz.htm
L3 - http://rh4df.cn/x13/yut.htm
L4 - http://rh4df.cn/x13/14.js
L4 - http://rh4df.cn/x13/15.js
L4 - http://rh4df.cn/x13/16.js
L4 - http://rh4df.cn/x13/a.jpg
L4 - http://rh4df.cn/x13/b.jpg
L4 - http://rh4df.cn/x13/url.jpg
自动解析 - Auto XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
L4 - http://rh4df.cn/x13/c.jpg
L4 - http://rh4df.cn/x13/d.jpg
L4 - http://rh4df.cn/x13/e.jpg
L4 - http://rh4df.cn/x13/f.jpg
L4 - http://rh4df.cn/x13/091.js
自动解析 - Auto XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
L4 - http://rh4df.cn/x13/092.js
L4 - http://rh4df.cn/x13/ytfl.htm
L4 - http://rh4df.cn/x13/ytfl1.htm
L4 - http://rh4df.cn/x13/of.htm
关注 - http://d.bgsew.com/xx/x13.css
L5 - http://rh4df.cn/x13/s1;o2.click}
L5 - http://rh4df.cn/x13/y1.htm
L5 - http://rh4df.cn/x13/t2.htm
L5 - http://rh4df.cn/x13/of.js
自动解析 - Auto XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
L5 - http://rh4df.cn/x13/of1.css
L5 - http://rh4df.cn/x13/of.css
可能的Flash溢出 - http://rh4df.cn/x13/x1.swf
NATIVE AUTO XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
可能的Flash溢出 - http://rh4df.cn/x13/x3.swf
NATIVE AUTO XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
可能的Flash溢出 - http://rh4df.cn/x13/x4.swf
NATIVE AUTO XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
可能的Flash溢出 - http://rh4df.cn/x13/x2.swf
NATIVE AUTO XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
可能的Flash溢出 - http://rh4df.cn/x13/x5.swf
NATIVE AUTO XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
可能的Flash溢出 - http://rh4df.cn/x13/x7.swf
NATIVE AUTO XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
可能的Flash溢出 - http://rh4df.cn/x13/x9.swf
NATIVE AUTO XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
可能的Flash溢出 - http://rh4df.cn/x13/x10.swf
NATIVE AUTO XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
可能的Flash溢出 - http://rh4df.cn/x13/x8.swf
NATIVE AUTO XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css
可能的Flash溢出 - http://rh4df.cn/x13/x11.swf
NATIVE AUTO XOR - 高度可疑 - http://d.bgsew.com/xx/x13.css

输出的对象 - http://d.bgsew.com/xx/x13.css

此分析日志由 77 使用 Astox v1 Build 1100 在 2009年8月29日10时26分41秒生成。

显示全部楼层 · 发表于 2009-8-29 10:28:49

关于:hxxp://bbs.cnlv.net/解密的日志(全体输出 -  73):

Level  1>http://%72%6e%6c%6a%6d%2e%33%33%32%32%2e%6f%72%67/1.htm
Level  2>http://img.tongji.linezing.com/1286094/tongji.gif
Level  2>http://www.linezing.com  ●
Level  2>http://js.tongji.linezing.com/1286094/tongji.js
Level  2>http://kdf21.2288.org/jj/2.htm
Level  3>http://js.tongji.linezing.com/1242668/tongji.js
Level  3>http://rh4df.cn/x13/xx.html
Level  4>http://rh4df.cn/x13/yut.htm
Level  5>http://rh4df.cn/x13/of.htm
Level  6>http://rh4df.cn/x13/of.css  ●
Level  6>http://rh4df.cn/x13/of1.css  ●
Level  6>http://rh4df.cn/x13/of.js
Level  7>http://d.bgsew.com/xx/x13.css  ●
Level  5>http://rh4df.cn/x13/ytfl1.htm
Level  6>http://rh4df.cn/x13/y1.htm
Level  7>http://rh4df.cn/x13/x5.swf  ●
Level  8>http://d.bgsew.com/xx/x13.css  ●
Level  7>http://rh4df.cn/x13/x2.swf  ●
Level  8>http://d.bgsew.com/xx/x13.css  ●
Level  7>http://rh4df.cn/x13/x4.swf  ●
Level  8>http://d.bgsew.com/xx/x13.css  ●
Level  7>http://rh4df.cn/x13/x3.swf  ●
Level  8>http://d.bgsew.com/xx/x13.css  ●
Level  7>http://rh4df.cn/x13/x1.swf  ●
Level  8>http://d.bgsew.com/xx/x13.css  ●
Level  6>http://rh4df.cn/x13/t2.htm
Level  7>http://rh4df.cn/x13/x11.swf  ●
Level  8>http://d.bgsew.com/xx/x13.css  ●
Level  7>http://rh4df.cn/x13/x8.swf  ●
Level  8>http://d.bgsew.com/xx/x13.css  ●
Level  7>http://rh4df.cn/x13/x10.swf  ●
Level  8>http://d.bgsew.com/xx/x13.css  ●
Level  7>http://rh4df.cn/x13/x9.swf  ●
Level  8>http://d.bgsew.com/xx/x13.css  ●
Level  7>http://rh4df.cn/x13/x7.swf  ●
Level  8>http://d.bgsew.com/xx/x13.css  ●
Level  6>http://rh4df.cn/x13/y1.htm
Level  5>http://rh4df.cn/x13/ytfl.htm
Level  6>http://rh4df.cn/x13/ff.html
Level  6>http://rh4df.cn/x13/ff.html
Level  6>http://rh4df.cn/x13/ie.html
Level  6>http://rh4df.cn/x13/ff.html
Level  6>http://rh4df.cn/x13/ie.html
Level  6>http://rh4df.cn/x13/ff.html
Level  4>http://rh4df.cn/x13/dxxz.htm
Level  5>http://rh4df.cn/x13/092.js
Level  5>http://rh4df.cn/x13/091.js
Level  6>http://d.bgsew.com/xx/x13.css  ●
Level  4>http://rh4df.cn/x13/yt.htm
Level  5>http://rh4df.cn/x13/f.jpg
Level  5>http://rh4df.cn/x13/e.jpg
Level  5>http://rh4df.cn/x13/d.jpg
Level  5>http://rh4df.cn/x13/c.jpg
Level  5>http://rh4df.cn/x13/url.jpg
Level  6>http://d.bgsew.com/xx/x13.css  ●
Level  5>http://rh4df.cn/x13/b.jpg
Level  5>http://rh4df.cn/x13/a.jpg
Level  4>http://rh4df.cn/x13/td14.htm
Level  5>http://rh4df.cn/x13/16.js
Level  5>http://rh4df.cn/x13/15.js
Level  5>http://rh4df.cn/x13/14.js
Level  6>http://d.bgsew.com/xx/x13.css  ●
Level  2>http://img.tongji.linezing.com/1283132/tongji.gif
Level  2>http://www.linezing.com  ●
Level  2>http://js.tongji.linezing.com/1283132/tongji.js
Level  1>http://bbs.cnlv.net/include/js/common.js?rdd
Level  1>http://bbs.cnlv.net/images/xshow/title.js
Level  1>http://bbs.cnlv.net/images/xshow/focus.swf  ●
Level  1>http://pagead2.googlesyndication.com/pagead/show_ads.js
Level  1>http://s36.cnzz.com/stat.php?id=889687&web_id=889687&show=pic1
Level  1>http://s51.cnzz.com/stat.php?id=1240514&web_id=1240514&show=pic1
Level  1>http://bbs.cnlv.net/
Level  1>http://www.8264.com  ●

日志由 Redoce2.0第16次修正版于 2009-8-29 10:28:36 生成。

显示全部楼层 · 发表于 2009-8-29 12:45:47

汗呀，解了一搜才看到有帖了。

关于:hxxp://bbs.cnlv.net/解密的日志(全体输出 -  74):

Level  0>http://bbs.cnlv.net/
Level  1>http://s51.cnzz.com/stat.php?id=1240514&web_id=1240514&show=pic1
Level  1>http://s36.cnzz.com/stat.php?id=889687&web_id=889687&show=pic1
Level  1>http://pagead2.googlesyndication.com/pagead/show_ads.js
Level  1>http://bbs.cnlv.net/images/common/online_supermod.png
Level  1>http://bbs.cnlv.net/images/common/online_admin.png
Level  1>http://www.cnlv.net/uc/avatar.php?uid=13701&size=small
Level  1>http://www.cnlv.net/uc/avatar.php?uid=14209&size=small
Level  1>http://www.cnlv.net/uc/avatar.php?uid=12789&size=small
Level  1>http://www.cnlv.net/uc/avatar.php?uid=12837&size=small
Level  1>http://www.cnlv.net/uc/avatar.php?uid=777&size=small
Level  1>http://www.cnlv.net/uc/avatar.php?uid=988&size=small
Level  1>http://www.cnlv.net/uc/avatar.php?uid=16330&size=small
Level  1>http://bbs.cnlv.net/images/xshow/focus.swf
Level  1>http://bbs.cnlv.net/images/xshow/title.js
Level  1>http://bbs.cnlv.net/include/js/common.js?rdd
Level  1>http://%72%6e%6c%6a%6d%2e%33%33%32%32%2e%6f%72%67/1.htm
Level  2>http://www.linezing.com
Level  2>http://js.tongji.linezing.com/1286094/tongji.js
Level  2>http://kdf21.2288.org/jj/2.htm
Level  3>http://js.tongji.linezing.com/1242668/tongji.js
Level  3>http://rh4df.cn/x13/xx.html
Level  4>http://rh4df.cn/x13/yut.htm
Level  5>http://rh4df.cn/x13/of.htm
Level  6>http://rh4df.cn/x13/of.css
Level  6>http://rh4df.cn/x13/of1.css
Level  6>http://rh4df.cn/x13/of.js
Level  7>http://d.bgsew.com/xx/x13.css
Level  5>http://rh4df.cn/x13/ytfl1.htm
Level  6>http://rh4df.cn/x13/y1.htm
Level  7>http://rh4df.cn/x13/x4.swf
Level  7>http://rh4df.cn/x13/x3.swf
Level  7>http://rh4df.cn/x13/x2.swf
Level  7>http://rh4df.cn/x13/x5.swf
Level  7>http://rh4df.cn/x13/swfobject.js
Level  6>http://rh4df.cn/x13/t2.htm
Level  7>http://rh4df.cn/x13/x11.swf
Level  7>http://rh4df.cn/x13/x10.swf
Level  7>http://rh4df.cn/x13/x9.swf
Level  7>http://rh4df.cn/x13/x8.swf
Level  7>http://rh4df.cn/x13/x7.swf
Level  7>http://rh4df.cn/x13/swfobject.js
Level  6>http://rh4df.cn/x13/y1.htm
Level  7>http://rh4df.cn/x13/x5.swf
Level  7>http://rh4df.cn/x13/x4.swf
Level  7>http://rh4df.cn/x13/x3.swf
Level  7>http://rh4df.cn/x13/x2.swf
Level  7>http://rh4df.cn/x13/x1.swf
Level  7>http://rh4df.cn/x13/swfobject.js
Level  5>http://rh4df.cn/x13/ytfl.htm
Level  6>http://rh4df.cn/x13/ie.html
Level  7>http://rh4df.cn/x13/xp.swf
Level  6>http://rh4df.cn/x13/ff.html
Level  4>http://rh4df.cn/x13/dxxz.htm
Level  5>http://rh4df.cn/x13/092.js
Level  5>http://rh4df.cn/x13/091.js
Level  4>http://rh4df.cn/x13/yt.htm
Level  5>http://rh4df.cn/x13/f.jpg
Level  6>http://rh4df.cn/x13/logo.gif
Level  5>http://rh4df.cn/x13/e.jpg
Level  5>http://rh4df.cn/x13/d.jpg
Level  5>http://rh4df.cn/x13/c.jpg
Level  5>http://rh4df.cn/x13/url.jpg
Level  6>http://d.bgsew.com/xx/x13.css
Level  5>http://rh4df.cn/x13/b.jpg
Level  5>http://rh4df.cn/x13/a.jpg
Level  4>http://rh4df.cn/x13/td14.htm
Level  5>http://rh4df.cn/x13/16.js
Level  5>http://rh4df.cn/x13/15.js
Level  5>http://rh4df.cn/x13/14.js
Level  6>http://d.bgsew.com/xx/x13.css
Level  2>http://js.tongji.linezing.com/1283132/tongji.js
Level  2>http://img.tongji.linezing.com/1286094/tongji.gif
Level  2>http://img.tongji.linezing.com/1283132/tongji.gif

日志由 Redoce2.0第16次修正版于 2009-08-29 下午 12:47:36 生成。

显示全部楼层 · 发表于 2009-8-29 13:13:30

Opera 无视，进去没动静

显示全部楼层 · 发表于 2009-8-29 16:22:56

恐怖,挂了不少马!!

显示全部楼层 · 发表于 2009-8-29 16:55:44

mse拦截

显示全部楼层 · 发表于 2009-8-29 21:47:46

To KL

显示全部楼层 · 发表于 2009-8-29 23:22:17

Hello,

x13.css - Trojan-Dropper.Win32.Agent.bblu

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

Best regards, Sergey Prokudin
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com

[其它] 苍南论坛被挂马。