[2010.11.12]为慧欣e校友情检测并清除【ad.zom123.net】的垃圾弹窗

广告

本文带有图片,如果无法全部显示,点击图片可查看完整大图。

一、前言

很久之前,慧欣e校(bbs.evonne.cn)论坛上的人就有人找过我说论坛有弹窗的问题,具体表现为:


打开论坛,第一次弹窗,是一个广告页面,此后在该页面点击一次就弹一次窗。页面刷新一次后,就不再弹窗,每天第一次访问的时候,都会出现这样的情况,刷新后就正常。 而管理员使用任何浏览器都不会弹窗。

 

 

 


不过,非常对不起他们的就是,本人经常不知道在忙些什么,所以这事就一直拖到现在。今天因为亚运会所以放假一天,所以昨晚的时候,就联系了管理员,取得了整站的论坛备份程序。于是着手开始分析。

 


二、定位弹窗的代码

备份程序是拿到了,但是一个Discuz的论坛程序,是你会一句句看下去吗?当然不会,所以先通过浏览器找到 弹窗的代码先。首先因为每天第一次访问才弹窗,刷新之后就没事了,所以猜测可能是通过Cookies验证的,所以首先清空Cookies和缓存,打开Chrome浏览器浏览。用Chrome的时候没有弹窗(估计是弹窗的代码不支持Chrome的原因),打开完毕后,右键→审查元素。然后在【<script src=”forumdata/cache/common.js?Vmm” type=”text/javascript”></script>】这句下面找到了可疑代码【<script src=”http://ad.zom123.net/ip.asp?loc=chongqing”></script>】。

 

 

而在IE下查看源文件却没有这句代码。所以这句很有可能是在common.js文件里面用document.write输出了。 于是下载forumdata/cache/common.js文件下来,搜索【document.write】,还真的是找到了。你们…你们还能再恶心点不?为了防止被查杀,居然还玩拆分,拆了就算了,居然还要把字符转成十六进制!

以上代码合并转码之后就是:【http://ad.zom123.net/ip.asp?loc=chongqing】,其中的loc参数更恶心,loc填写的是地区,ip.asp接收到的地区参数后,则这个地区的人不会弹窗。因为管理员是重庆的,所以这里就是重庆地区的都不弹窗!这个东西,就是要让管理员不知道有弹窗的事情,让他以为是其他人的网络问题!真不是一般的恶心!


三、开始清理弹窗广告

首先是清理common.js里面的那里代码,这里要注意,不能只清除【forumdata/cache/common.js】这个,这个是模板缓存文件,清除了这个没用,主要是清除【include/js/common.js】里面的(这里以Discuz 7.2为例,其他程序的请自行检查)。清理完后只要替换原文件,重新打开网站,这个世界就清净了。不过现在先不要这么做,因为一,我没有上传文件的权限^_^,二、还没找后门呢。


四、扫马

这个家伙居然能过来广告,那么肯定会放后门吧,不然怎么“维护”呢?于是现在开始清理木马。大致翻了一下,那么多文件夹,如果我一个个打开来看不是累死?而且技术不行,肯定要用工具了。因为论坛用的是Discuz 7.2版的,所以先到官方下载了个7.2的源码下来并解压,然后下载个著名的Beyond Compare,用他进行对比后发现,在【\templates\default】多了个叫pay.php的文件,打开后发现居然用了base64_decode处理过的,这么可疑:

接着把eval改成exit,然后上传到自己的空间再打开后,就看到源码了:

知道密码后登陆上去,原来是phpspy木马,然后用这个木马先清理了一下两个common.js文件,然后也没有找到别的可疑文件了,于是删除自己,OK,完事了!

3075


6 thoughts on “[2010.11.12]为慧欣e校友情检测并清除【ad.zom123.net】的垃圾弹窗”

  1. boluo说道:

    我把eval修改为exit后,访问pay.php是乱码

  2. 秋色烽火说道:

    谢谢 总算解决网站的问题了 [YCT:30]

    1. 暗黑游侠说道:

      呵呵,不用,这个流氓网站是很讨人厌的~~~
      后台的统计显示很多人都中了这个流氓网站的恶手 [YCT:26]

  3. toni说道:

    太谢谢你这篇文章了。 [YCT:05]

  4. cbox说道:

    这篇文章确实是精辟啊。赞一个。

  5. 手机软件说道:

    我希望一直好好的,不要再出现不该出现的了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

百度XML GoogleXML SiteMap