网站(宝鸡市力航钛业有限责任公司_钛棒,钛板,医用钛棒,医用钛板,钛合金管)被黑客植入木马

四月 2nd, 2010 发表评论 阅读评论

今日,log.mtian.net接网友www.lh-ti.com上报,网站(主页标题:宝鸡市力航钛业有限责任公司_钛棒,钛板,医用钛棒,医用钛板,钛合金管)(URL:http://www.lh-ti.com/)被黑客植入网页木马。 系统有漏洞的用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被 窃取敏感信息。以下是网友www.lh-ti.com对该网站其中一个页面的挂马分析:

Log  generated  by  www.lh-ti.com  use  mdecoder  0.53
[root]http://www.lh-ti.com/(宝鸡市力航钛业有限责任公司_钛棒,钛板,医用钛棒,医用钛板,钛合金管)
        [script]http://q.taogu.org.cn:95
                [iframe]http://te1a22.8800.org:97/xo/dk.html
                        [iframe]http://te1a22.8800.org:97/xo/0.htm
                                [exp]http://te1a22.8800.org:97/xo/../0.htm(Exploit.Ie0dayCVE0806.a)
        [script]http://q.siyou.org.cn:95
                [iframe]http://te1a22.8800.org:97/xo/dk.html
        [script]http://q.taogu.org.cn:95
        [script]http://f.officea.slyip.com/office.js?google_ad_format=728x90_as
                [iframe]http://668.opd.viens.la:1000/360/index.html?id=1001
                        [script]http://668.opd.viens.la:1000/360/check.php?id=
                        [script]http://668.opd.viens.la:1000/360/safe.js
                        [iframe]http://668.opd.viens.la:1000/360/about:blank
                        [iframe]http://668.opd.viens.la:1000/360/about:blank
                        [iframe]http://668.opd.viens.la:1000/360/about:blank
        [script]http://q.taogu.org.cn:95
        [script]http://q.siyou.org.cn:95
        [script]http://q.taogu.org.cn:95
        [script]http://f.officea.slyip.com/office.js?google_ad_format=728x90_as
        [script]http://www.lh-ti.com/menu/menu_func.js
        [script]http://www.lh-ti.com/menu/menu_init.js
        [script]http://www.lh-ti.com/css/membed.js
                [exe]http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab
        [script]http://www.lh-ti.com/left_pop82.js
        [iframe]http://www.lh-ti.com/*.htm
        [script]http://www.lh-ti.com/gb2big5.js
        [script]http://www.lh-ti.com/menu/menu_content.js
        [flash]http://www.lh-ti.com/images/qq.swf
        [script]http://f.officea.slyip.com/office.js?google_ad_format=728x90_as
        [script]http://q.taogu.org.cn:95
        [script]http://q.siyou.org.cn:95
        [script]http://q.taogu.org.cn:95
        [script]http://f.officea.slyip.com/office.js?google_ad_format=728x90_as
        [script]http://js.users.51.la/3433551.js
        [script]http://q.taogu.org.cn:95
        [script]http://q.siyou.org.cn:95
        [script]http://q.taogu.org.cn:95
        [script]http://f.officea.slyip.com/office.js?google_ad_format=728x90_as
        [script]http://q.taogu.org.cn:95
        [script]http://q.siyou.org.cn:95
        [script]http://q.taogu.org.cn:95
        [script]http://f.officea.slyip.com/office.js?google_ad_format=728x90_as


log.mtian.net提醒大家安装防网马软件来防范此类挂马网页的攻击,并及时检查并安装系统及第 三方软件的补丁。

分类:

  1. hacker-v
    2010-04-05 at 16:02 回复 引用
    [exp]http://te1a22.8800.org:97/xo/../0.htm(Exploit.Ie0dayCVE0806.a)
    这条的地址不对应该是http://te1a22.8800.org:97/0.htm
    我截获过这网马 0.htm这文件加密了不知道怎么解密
  2. mtian
    2010-04-07 at 03:02 回复 引用
    http://te1a22.8800.org:97/0.htm 应该是跟 http://te1a22.8800.org:97/xo/../0.htm 相同的。
    ../是切到上层目录,WEB服务器会自动处理的