24号早上发现公司一主网站在google搜索中出现“该网站可能含有恶意软件,有可能会危害您的电脑。”,开始我还以为是网站被攻击了,于是检查所有可疑之处,FTP上最近修改的程序文件以及数据库,均未发现异常。通过google的“安全浏览诊断网页”看到:
“在过去 90 天内,此网站的部分内容因包含可疑活动而被列出了 1 次。”
“我们过去 90 天内对此网站上的 70 张网页进行了测试,发现有 2 张网页在未经用户同意的情况下就会将恶意软件下载并安装到用户的机器中。Google 上次访问此网站的日期是 2008-10-24,上次在此网站中发现可疑内容的日期是 2008-10-24。”
“恶意软件包含 6 worm(s)。目标机器感染恶意软件后,平均会增加 5 个新进程。”
“恶意软件托管在 2 个域上,其中包括 fql10.cn, sgl10.cn。”
并没有看到传播媒介的提示,于是想到会不会是访问统计?但是不敢肯定,使用IE浏览了一下,隐私报告中也没有什么提示。于是通过Google管理员工具申请了一下重新审核。
24号下午再次Google搜索,却还是来样子,通过Google的诊断页面却看到了以下内容:
从上面可以看到,早上提交申请后Google确实访问了。却提示了“1 个域以传播媒介的身份向此网站的访问者散发了恶意软件,其中包括 itsun.com。”,终于还是itsun搞的,点击提示中itsun网址,却看到以下:
另外:“在过去 90 天里,itsun.com 以传播媒介的身份感染了 8084 个网站,其中包括 cnzyc.cn, hexun.com, e0358.com。”
可见,该统计的个别服务器又被挂马了。
在Google搜索“itsun 挂马”,找到一个百度贴吧中的帖子,说当一个IP第一次打开含有这个统计的页面时,木马才会运行。
于是我使用翻墙软件【暂时找不到合适代理,只能用此软件】在IE中打开公司网站,在状态栏中确实看到了可疑的网址运行,打开“隐私报告”,却看到了如下内容:
出现可疑的网址sgl10.cn,明白人一看就知道这几个网址中的内容不是什么好东西。
并且还出现需安装迅雷的一个插件:
在Google上搜索dapplayer module,却看到很多关于中毒的信息。
因为我使用的是IE8,据说在IE6版本,有些插件或者木马是可以在页面打开时就运行了,在IE8或者火狐上就会有插件安装的提示。
26号9点更新:
公司又一个网站被列为可以网站,而且也是itsun的统计,安全诊断页面如下:
于是赶紧撤掉itsun统计,提交google重新审核。现在只有等结果。
来源:http://www.chxwei.com/article.asp?id=504