新浪网有病毒?大年初四的早上,一个朋友和我联系,说是浏览新浪网的时候NOD报毒了!想想之前发生的CCTV被黑的事件,马上着手检查。
被感染的页面地址是:http://pet.sina.com.cn/ 经过查询,424242424的确是一个已经被解析到美国一个机房的网站。
按照一般的习惯,我们检查源代码,由于代码实在太乱了,我们经过几个小时的检查,并没有发现可疑的木马文件。
此时,我们开始怀疑是不是DNS被劫持挂马了,于是,我和线索提供者QQ765413联系,通过联系知道,他的2台电脑同时显示有木马。
由于怀疑是DNS木马,于是,我喊这位朋友打开我的网站www.yydaxue.com,可是并没有发现木马,于是,DNS被挂马的可能性被清除了。
我们再一次的分析源码,经过几个小时的细心发现,我们发现如下源码
<iframe src="http://www.petkoo.com/template/default_include/sina_leftnav.htm" height="799" frameborder="0" width="253" scrolling="no"></iframe>
既然页面找不到网站源码,是不是其合作伙伴出问题了呢! 我们打开这个页面,果然,杀毒软件继续报毒,相同的代码。
通过查询源代码还是没有查到可疑的代码,就在我们即将放弃之时,突然想到,我们可以将此页面另存为MHT格式,再查看源码,果然,我们在最下面发现如下代码
正是之前,我们发现的木马文件。至此,网站木马文件被发现。
我们已经给新浪打电话过去了,一天的时间内还没有修复。大家赶紧围观吧。感谢QQ 765413 提供消息。
