http://soft.yesky.com/securityw/aqff/105/3319105.shtml
被掛惡意腳本 小心投票系統上面的木馬
2007-04-29 13:54 作者: 出處: 論壇整理 責任編輯:原野
翻最近收到的網站被黑報告,發現因為用了“心情網路投票系統”被掛惡意腳本的還真不少。
其中,hxxp://d.thec.cn/knell/js.js的作者,應該算是代表。這位元仁兄似乎只靠黑投票系統來掛馬,而且對政府網站比較偏愛,下面是一些被他掛的網址:
hxxp://cbf.qhagri.gov.cn/vote/votedy.asp
hxxp://jly.cq.gov.cn/admin/vote/votedy.asp
hxxp://www.cqta.gov.cn/admin/vote/votedy.asp
hxxp://www.jdz.gov.cn/vote/votedy.asp
hxxp://www.lndca.gov.cn/vote/votedy.asp
hxxp://www.ytepb.gov.cn/toupiao/votedy.asp
hxxp://cdb.teda.gov.cn/ballot/votedy.asp
hxxp://www.jnrsj.gov.cn:8080/wsdc/votedy.asp
hxxp://www.fm1033.cn/dgct_amht/amht_vote/votedy.asp
hxxp://vote.zgys.org/votedy.asp
hxxp://it.inhe.net/toupiao/index.htm
[已清除]hxxp://www.sdny.gov.cn/vote/votedy.asp
[已清除]hxxp://www.ytwm.com/default.shtml
[已清除]hxxp://www.nccate.com/vote/votedy.asp
就目前收集到的報告看,hxxp://d.thec.cn/knell下還有幾個惡意網頁,會下載執行
hxxp://www.rzguanhai.com/ddos.exe
hxxp://www.rzguanhai.com/server.exe
hxxp://www.tscbs.com/images/down.exe
ddos.exe已經失效了,其餘2個還在。虛擬機器裡抓了下包,似乎都是鴿子。控制端分別是:
abc74231.3322.org:8181
202.102.135.87:8181
都是山東的IP,後者的功能變數名稱目前是shm.com.cn——一個正規的煙臺新聞網站,有點意思。
請先 登入 以發表留言。