关于部分会员报告事务所论坛被“挂马”的相关解释
今天接到翔的通知,于是跑过来看看。使用flashget直接下载用户上报的几个页面,均未发现异常。
而后联系了360安全中心,把木马样本取了来研究。 发现的确,在360抓去的样本中,相关网页的第一行就是一个iframe,链接到木马网站。
结合之前的经验,能做出如下分析:
1、服务器机房内有其他机器中毒,采用ARP欺骗的办法将它自己变成网关,然后在输出中统一嵌入木马地址。这样的事情,事务所这个破机房曾经有过先例的,因此不能排除这种人品问题再度爆发的可能性,毕竟,小服服不能挑邻居的……;
2、我们知道,现在360等安全软件,采用所谓的云查杀。就是,当用户碰到异常网站时,360等软件会自动将样本打包并上传,而不会去分辨这个病毒到底是怎么带来的:有可能是用户计算机本身就有病毒,也有可能是用户网络中存在ARP挟持自动添加木马,等等。所以,问题也有可能出在第一个报告事务所木马的用户上。
因此个人向广大网友提出如下建议:
1、尽快升级自己的IE到最新版本,或者使用Chrome这样优秀的浏览器;
2、安装杀毒软件;
3、修改HOST文件,将 jdsfwse.8800.org 指向 127.0.0.1 (这是这次捕捉到的木马宿主机,不能保证固定就是这个地址) 具体方法大家可以google。
现在事务所论坛已近开启了gzip,如果再有出现挂马的情况,事务所论坛将直接无法访问,优先保护广大网友计算机信息安全。
论坛已经经过文件完整性扫描,现在暂时没有问题了,大家可以放心。 技术部门将继续跟踪此事件。
bbscool @ 100915
360误报是正常事,不过也不排除DZ本身因为漏洞被人挂马的可能性,之前DZ貌似出过这事情。理论上没什么大事。裸奔众淡定的路过。。。 大家好,我是新来的,请大家多多指教哈!{:4_395:} 360有时候不是会误报的么 以为是误报滴飘过…… 没事没事这不算什么……我防御力够强……
先画个圈圈诅咒那帮没事老爱挂马的缺德家伙 还是小心为妙感谢 好专业。。。完全看不懂的。。
就看懂了最后的建议。。。OTL
挂马什么的真是麻烦啊。。。 用Chrome的某捂嘴偷笑,溜走..
页:
[1]