網域名稱俱樂部


返回   網域名稱俱樂部 > 電腦與網路技術 > 電腦網路相關技術

回覆
 
主題工具
  #51  
舊 2007-08-05, 10:12 PM
domainplayer domainplayer 目前離線
進階會員
 
註冊日期: 2002-05-31
文章: 4,757
發送 ICQ 消息給 domainplayer
預設

Ricado兄!
你說的一直變來變去是真的耶!!

我剛請我弟幫忙找原因,
於是他創了一個沒什麼內容的網頁(原始碼如下),丟到我的空間中測試.
引用:
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>xxx</title>
</head>
<body class="body_style">
Hello virus
</body>
結果第一次訪問的時候,
也會出現像上面那張圖一樣的情況,
就是會有一些像無法顯示圖片的東西跑出來,
並且跳出ActiveX警告,
於是我弟馬上檢視了原始碼,
竟然發現裡面多了一個script:
引用:
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>xxx</title>
</head>
<body class="body_style"><script language='JavaScript' type='text/javascript' src='cvqxt.js'></script>
Hello virus
</body>
但是循著'cvqxt.js'去找,卻沒發現任何東西,
我弟於是再重新開機試了一次,訪問該頁後,
卻發現那段script中原本的'cvqxt.js'竟然變成了'fendw.js', 而且一樣在相對應的資料夾內找不到這個檔案.

而且這段奇怪的script在未斷線前,第二次訪問同一主機內的任何網頁後都會消失不見...

於是我弟就說, 假如這是病毒, 而且假設訪客的電腦是會被感染的情況下, 惡意碼的確只需要出現一次即可,
也又是說, 他推斷那段script會故意隱藏起來, 只在第一次訪問時出現,讓人中了毒之後就消失不見.

至於為什麼我與哈啦兄和一些少數人會跳出activex警告,詢問我們是不是要安裝一個微軟的元件.
我剛剛推論了一下,
假如那個.js是病毒的話, 他可能是透過這個微軟元件的漏洞來感染我們的電腦, 但大部分版友都有裝這個元件,
所以不會看到那個activex的畫面....
我和哈啦兄沒有裝(我的電腦新買一個月而已),那個病毒沒有媒介可以傳播,所以我們訪問時才會一直問我們要不要安裝某個東西.

不過以上只是我自己綜合目前已知的資訊所做的推論,
可能不是正確的, 有請Ricado兄和其它pro級版友回答一下....

thanks!
__________________
1515

此篇文章於 2007-08-05 10:21 PM 被 domainplayer 編輯。
回覆時引用此篇文章
  #52  
舊 2007-08-05, 10:29 PM
domainplayer domainplayer 目前離線
進階會員
 
註冊日期: 2002-05-31
文章: 4,757
發送 ICQ 消息給 domainplayer
預設

引用:
作者: 哈啦 查看文章
而它既然是存取本機的'ivzqm.js',因此如果本機上沒有這個玩意,就應該不會造成什麼危險,畢竟它不是src=http://....別處去下載什麼東西。
我這樣說對嗎?
我覺得那個.js指的不是本機的檔案,
而是我網站空間的資料夾內的檔案,
但它可能只會隨著那段script在第一此訪問時被送到訪客端, 並不會實際產生出來,
所以我們無法抓下來,也無法得知那是什麼東西.
__________________
1515
回覆時引用此篇文章
  #53  
舊 2007-08-05, 10:39 PM
kuer 的頭像
kuer kuer 目前離線
進階會員
 
註冊日期: 2006-04-08
文章: 1,089
預設

嗯,可以肯定是主機問題,這種要等服務商清除
回覆時引用此篇文章
  #54  
舊 2007-08-05, 10:41 PM
Ricado 的頭像
Ricado Ricado 目前離線
進階會員
 
註冊日期: 2004-07-13
住址: 蕃薯島,打狗城
文章: 4,454
預設

引用:
作者: domainplayer 查看文章
我覺得那個.js指的不是本機的檔案,
而是我網站空間的資料夾內的檔案,
但它可能只會隨著那段script在第一此訪問時被送到訪客端, 並不會實際產生出來,
所以我們無法抓下來,也無法得知那是什麼東西.
這種攻擊方式是在你的網頁中鑲入script ,然後利用 iframe 的方式,轉址到有問題的網頁,而這個有問題的網頁可能試圖攻擊 VML 的弱點。如果用戶端的電腦沒有更新,可能就遭到攻擊。

這是已知的 cPanel 漏洞攻擊法之ㄧ。
回覆時引用此篇文章
  #55  
舊 2007-08-05, 11:00 PM
Ricado 的頭像
Ricado Ricado 目前離線
進階會員
 
註冊日期: 2004-07-13
住址: 蕃薯島,打狗城
文章: 4,454
預設

連絡一下主機商,協助更新 cPanel 的版本。
搜尋一下cpanel security hole 可以找到很多相關資料

如果短期無法解決,可能要思考是否先關站,避免被 google 列入安全警示名單。
回覆時引用此篇文章
  #56  
舊 2007-08-05, 11:20 PM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2002-05-28
文章: 22,995
預設

那總而言之,我已上去看過多次,甚至有一次按了准許它執行(但按了之後似乎沒有什麼動作?),我的電腦會不會有問題?昨天卡巴斯基才剛掃過一次好像沒掃到什麼相關的?
__________________
咖啡走路
微博


您是網站站長嗎?歡迎到站長俱樂部 一起討論吧。
按我看版規
code.club
回覆時引用此篇文章
  #57  
舊 2007-08-05, 11:29 PM
Ricado 的頭像
Ricado Ricado 目前離線
進階會員
 
註冊日期: 2004-07-13
住址: 蕃薯島,打狗城
文章: 4,454
預設

引用:
作者: 哈啦 查看文章
那總而言之,我已上去看過多次,甚至有一次按了准許它執行(但按了之後似乎沒有什麼動作?),我的電腦會不會有問題?昨天卡巴斯基才剛掃過一次好像沒掃到什麼相關的?
沒事啦!這可能是利用兩個漏洞所做的攻擊。

入侵者先利用 cPanel 的漏洞,修改網頁輸出結果 (待確認,DP 要自己查查看,我們只能推測),殖入代碼或轉址到惡意網站

惡意代碼試圖利用 VML 的漏洞入侵用戶端電腦,這個漏洞去年10月就補起來了,只要定期更新就沒事了。

不過對 DP 的網站會產生不良的效果,萬一被列入安全警示名單,到時候即使 Google 找到,User 點下去立刻出現危險警告,那可是很難收拾的。
回覆時引用此篇文章
  #58  
舊 2007-08-05, 11:33 PM
cool 的頭像
cool cool 目前離線
進階會員
 
註冊日期: 2002-10-01
文章: 2,763
預設

你的主機位置有相同狀況。
http://www.tw620.com
回覆時引用此篇文章
  #59  
舊 2007-08-05, 11:43 PM
domainplayer domainplayer 目前離線
進階會員
 
註冊日期: 2002-05-31
文章: 4,757
發送 ICQ 消息給 domainplayer
預設

感謝各位的幫忙,
主機商獲知後已經在做處理了

這件事就到此告一個段落吧.
__________________
1515
回覆時引用此篇文章
回覆

主題工具

發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼



所有時間均為 +8。現在的時間是 04:12 PM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.