都是投票系统惹的祸 小心上面的木马

henry2000888

作者：加糖苦咖啡　来源：赛迪网安全社区　发布时间：2007.04.29

翻最近收到的网站被黑报告，发现因为用了“心情网络投票系统”被挂恶意脚本的还真不少。

其中，hxxp://d.thec.cn/knell/js.js的作者，应该算是代表。这位仁兄似乎只靠黑投票系统来挂马，而且对政府网站比较偏爱，下面是一些被他挂的网址：


hxxp://cbf.qhagri.gov.cn/vote/votedy.asp
hxxp://jly.cq.gov.cn/admin/vote/votedy.asp
hxxp://www.cqta.gov.cn/admin/vote/votedy.asp
hxxp://www.jdz.gov.cn/vote/votedy.asp
hxxp://www.lndca.gov.cn/vote/votedy.asp
hxxp://www.ytepb.gov.cn/toupiao/votedy.asp
hxxp://cdb.teda.gov.cn/ballot/votedy.asp
hxxp://www.jnrsj.gov.cn:8080/wsdc/votedy.asp
hxxp://www.fm1033.cn/dgct_amht/amht_vote/votedy.asp
hxxp://vote.zgys.org/votedy.asp
hxxp://it.inhe.net/toupiao/index.htm
[已清除]hxxp://www.sdny.gov.cn/vote/votedy.asp
[已清除]hxxp://www.ytwm.com/default.shtml
[已清除]hxxp://www.nccate.com/vote/votedy.asp


就目前收集到的报告看，hxxp://d.thec.cn/knell下还有几个恶意网页，会下载执行


hxxp://www.rzguanhai.com/ddos.exe
hxxp://www.rzguanhai.com/server.exe
hxxp://www.tscbs.com/images/down.exe



ddos.exe已经失效了，其余2个还在。虚拟机里抓了下包，似乎都是鸽子。控制端分别是：

abc74231.3322.org:8181
202.102.135.87:8181



都是山东的IP，后者的域名目前是shm.com.cn——一个正规的烟台新闻网站，有点意思。
(T003)


http://tech.ccidnet.com/art/321/20070428/1073115_1.html