关于部分会员报告事务所论坛被“挂马”的相关解释

bbscool

今天接到翔的通知，于是跑过来看看。

使用flashget直接下载用户上报的几个页面，均未发现异常。

而后联系了360安全中心，把木马样本取了来研究。 发现的确，在360抓去的样本中，相关网页的第一行就是一个iframe，链接到木马网站。

结合之前的经验，能做出如下分析：

1、服务器机房内有其他机器中毒，采用ARP欺骗的办法将它自己变成网关，然后在输出中统一嵌入木马地址。这样的事情，事务所这个破机房曾经有过先例的，因此不能排除这种人品问题再度爆发的可能性，毕竟，小服服不能挑邻居的……；

2、我们知道，现在360等安全软件，采用所谓的云查杀。就是，当用户碰到异常网站时，360等软件会自动将样本打包并上传，而不会去分辨这个病毒到底是怎么带来的：有可能是用户计算机本身就有病毒，也有可能是用户网络中存在ARP挟持自动添加木马，等等。所以，问题也有可能出在第一个报告事务所木马的用户上。

因此个人向广大网友提出如下建议：

1、尽快升级自己的IE到最新版本，或者使用Chrome这样优秀的浏览器；

2、安装杀毒软件；

3、修改HOST文件，将 jdsfwse.8800.org 指向 127.0.0.1 (这是这次捕捉到的木马宿主机，不能保证固定就是这个地址) 具体方法大家可以google。

现在事务所论坛已近开启了gzip，如果再有出现挂马的情况，事务所论坛将直接无法访问，优先保护广大网友计算机信息安全。

论坛已经经过文件完整性扫描，现在暂时没有问题了，大家可以放心。 技术部门将继续跟踪此事件。


bbscool @ 100915

DRAGONGOD

360误报是正常事，不过也不排除DZ本身因为漏洞被人挂马的可能性，之前DZ貌似出过这事情。理论上没什么大事。裸奔众淡定的路过。。。

lujingjing

大家好，我是新来的，请大家多多指教哈！

YZNLiky100

360有时候不是会误报的么

樱花之雨

以为是误报滴飘过……

HolmesⅡ

没事没事这不算什么……我防御力够强……
先画个圈圈诅咒那帮没事老爱挂马的缺德家伙

炫目光华

还是小心为妙  感谢

daat1928

好专业。。。完全看不懂的。。
就看懂了最后的建议。。。OTL
挂马什么的真是麻烦啊。。。

wangr15

用Chrome的某捂嘴偷笑，溜走..