计算机世界报关于第28期封面报道的说明
Love The Way You Lie
没事闲着蛋疼,看着博客颜色过于单调.想想久而不更新的BO-BLOG,自己平时也懒得更新博客..于是到网上找了个比较符合我眼球的模板替换掉目前的.模板的作者还写了个人简历介绍...不错.好东西!
模板安装到尾声,浏览器突然提示加载一个ActiveX控件,也没注意就顺手点了加载.(后来知道这个加载项是 ActiveX控件),这是噩梦来临,多刷新几次博客就会弹出不同的山寨垃圾游戏广告.第一个反应,中毒了....但我没安装过什么东西,并且只用IE测试浏览了博客..
第二个反应,博客被挂马...但安全方面我做的还行,这个不大可能...
从第一个反应开始排查,拿出放了很久的sreng2检查系统.发现并没有异样,但是IE加载项多了个dhtmled.ocx ActiveX控件,全名DHTML Edit Control Safe for Scripting for IE5.
网上搜索了这个控件,发现大多数网友电脑出现自动弹出恶意广告URL,采用第三方工具检测系统时都会检测到这个控件,但基本无人能解释这个控件是被哪家公司利用.
不过找到一个网友发表的一篇日志 IE8在XP下不能完全拦截弹出窗口的解决方法
他提到"可以跳过弹出窗口拦截的dhtmled.ocx,它的csid为2D360201-FFF5-11d1-8D03-00A0C959BC0A,名称是dhtml edit control safe for scripting for ie5",看来罪魁祸首就是它.
于是在IE里设置禁止加载这个控件,反复刷新博客页面,不会再弹出恶意广告..世界一片清净.
本着IT人员的谨慎,觉得事情并没有那么简单.为什么我浏览博客时会提示加载这个控件,源头在哪里..于是重新加载这个控件,开始排查新的模板,后台更换模板测试,广告弹出依旧....与模板无关
因为弹出广告只是在8月6号当天,于是在服务器中重点查找修改时间为8月6号的博客下所有文件(排除掉模板),没有找到可疑代码.
清空IE缓存,打开一次博客页面看有没有弹出广告,没有弹出就继续删除缓存.
对应路径
终于再删除了几次缓存后,广告弹出了.查看缓存文件夹下的加载文件.发现了可疑广告.
连接为
继续用GOOGLE,查找关于1133.cc的信息.发现1133.cc是一家 宣传易传媒 公司,就是所谓的广告联盟.在其网站上并没有找到相关加载广告的代码.于是注册了下,过程超级麻烦.
必填的选项很多,随便乱填了资料提交.提示需要人工审核...看来这条路死了...
回到开始继续不停的点击博客页面,查找弹出广告的规律,发现只要点进日志页面,再点到其他任意页面,基本都会弹出广告.难道代码隐藏在日志页面中?查看了read.php页面,并没有被修改过.查找了博客内所有的JS文件,也没有可疑代码.开始怀疑插件....
在后台一个一个排查所安装的插件,没有头绪....
盯着博客日志页面继续沉思,突然眼前一闪,会不会是博客加载外站连接而造成弹出广告呢?开始用排查法逐步关闭外站调用...广告仍然加载....开始吐血...难道是机房ARP?可是打开服务器上其他网站并没有弹出广告...最后看到每个日志页面有个访客IP显示,数据是调用的CZ88.NET,代码如下..
在IE中单独打开
终于找到源头了..原来罪魁祸首就是CZ88.net.
查看了
在后台删除掉 调用CZ88的相关代码....整个世界清静了...
关电脑睡觉.....
最后编辑: chen 编辑于2010/08/06 12:31
模板安装到尾声,浏览器突然提示加载一个ActiveX控件,也没注意就顺手点了加载.(后来知道这个加载项是 ActiveX控件),这是噩梦来临,多刷新几次博客就会弹出不同的山寨垃圾游戏广告.第一个反应,中毒了....但我没安装过什么东西,并且只用IE测试浏览了博客..
第二个反应,博客被挂马...但安全方面我做的还行,这个不大可能...
从第一个反应开始排查,拿出放了很久的sreng2检查系统.发现并没有异样,但是IE加载项多了个dhtmled.ocx ActiveX控件,全名DHTML Edit Control Safe for Scripting for IE5.
网上搜索了这个控件,发现大多数网友电脑出现自动弹出恶意广告URL,采用第三方工具检测系统时都会检测到这个控件,但基本无人能解释这个控件是被哪家公司利用.
不过找到一个网友发表的一篇日志 IE8在XP下不能完全拦截弹出窗口的解决方法
他提到"可以跳过弹出窗口拦截的dhtmled.ocx,它的csid为2D360201-FFF5-11d1-8D03-00A0C959BC0A,名称是dhtml edit control safe for scripting for ie5",看来罪魁祸首就是它.
于是在IE里设置禁止加载这个控件,反复刷新博客页面,不会再弹出恶意广告..世界一片清净.
本着IT人员的谨慎,觉得事情并没有那么简单.为什么我浏览博客时会提示加载这个控件,源头在哪里..于是重新加载这个控件,开始排查新的模板,后台更换模板测试,广告弹出依旧....与模板无关
因为弹出广告只是在8月6号当天,于是在服务器中重点查找修改时间为8月6号的博客下所有文件(排除掉模板),没有找到可疑代码.
清空IE缓存,打开一次博客页面看有没有弹出广告,没有弹出就继续删除缓存.
对应路径
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
终于再删除了几次缓存后,广告弹出了.查看缓存文件夹下的加载文件.发现了可疑广告.
连接为
codeXX.1133.cc
,查看当前博客页面代码并没有找到关于1133的代码.奇怪...在服务器中查找博客下所有文件 关键词为1133,仍然没有头绪....继续用GOOGLE,查找关于1133.cc的信息.发现1133.cc是一家 宣传易传媒 公司,就是所谓的广告联盟.在其网站上并没有找到相关加载广告的代码.于是注册了下,过程超级麻烦.
必填的选项很多,随便乱填了资料提交.提示需要人工审核...看来这条路死了...
回到开始继续不停的点击博客页面,查找弹出广告的规律,发现只要点进日志页面,再点到其他任意页面,基本都会弹出广告.难道代码隐藏在日志页面中?查看了read.php页面,并没有被修改过.查找了博客内所有的JS文件,也没有可疑代码.开始怀疑插件....
在后台一个一个排查所安装的插件,没有头绪....
盯着博客日志页面继续沉思,突然眼前一闪,会不会是博客加载外站连接而造成弹出广告呢?开始用排查法逐步关闭外站调用...广告仍然加载....开始吐血...难道是机房ARP?可是打开服务器上其他网站并没有弹出广告...最后看到每个日志页面有个访客IP显示,数据是调用的CZ88.NET,代码如下..
<iframe width="468" height="50" frameborder="0" scrolling="no"
src="http://www.cz88.net/ip/viewip468.aspx"></iframe>
src="http://www.cz88.net/ip/viewip468.aspx"></iframe>
在IE中单独打开
http://www.cz88.net/ip/viewip468.aspx
不停刷新,广告没有弹出..我随便点击了里面一个链接,打开了 http://www.cz88.net/ip/
,然后我又关掉了这个页面,这时恶意广告弹出了....终于找到源头了..原来罪魁祸首就是CZ88.net.
查看了
http://www.cz88.net/ip/
这个页面的代码,如图所示在后台删除掉 调用CZ88的相关代码....整个世界清静了...
关电脑睡觉.....
最后编辑: chen 编辑于2010/08/06 12:31
2010/08/08 17:45 #{louceng}wwek 
换皮也也。不错多好看的。也到我的上面去加点人气呢··
chen 回复于 2010/08/09 00:32
经常去的,就是没有留言 嘿嘿
分页: 1/1 
1 
1
