上一次(5月2日)ARP攻击由于没想到一些东西(http://www.sacour.cn/post/221.html),搞得手忙脚乱还差点被GOOGLE录入恶意网站列表,录进去可就万劫不复了,还好那次选的时间不对,攻击的人选在了星期天晚上,于是忽略了第二天是工作日(好吧好吧其实客服星期天早上还坚守在岗位上的),星期一刚过几个小时就被发现了。

然后这次这丫学坏了(挂马的    一户口本,这是我昨晚想到的第一句话),大概在23:30分的时候开始挂马了,半夜一刷新页面看到个什么9**sf.com正在载入中,我还以为哪个蛋疼的给我在主页挂了个暗链呢,后来卡的不行了,看了看代码,发现页面头部出现木马了,(算是预感吗?我20点的时候莫名奇妙的去问人如果网页头部跟尾部被挂马怎么解决,当时我只发现在输出代码的时候,尾部加一个<!--,就是HTML注释符号就能把末尾的IFRAME给取消加载,但是头部我一直没解决好,结果一个小时以后还真给我挂到头部去了),我    他大爷的(当时在聊天……这是我说的第二句话)。

我第一反应居然是再刷新刷新看看……于是又被卡了三四次,后来才觉得我的这个反应是不是脑残了点,我是不是应该在本地把这些地址给劫持到127.0.0.1呀,动手,HOSTS了之后上FTP,文件一个没改,就是访问网页的时候HTML头被挂上了,我了个槽,ARP,跟5月份那个一样嘛,那时候已经0:10分了,我觉得大半夜的估计没啥客服上线了,干脆自个儿动手。

我先是试图在DNSPod里面暂停sacour.cn的解析,无解,突然想起来生效可是要12(~无穷大)个小时,再说12个小时生效以后我至少还要再花12个小时让他复原,太蛋疼了,纠结了一下直接断了WEB服务。访问主页,HTTP 400错误,睡觉。

第二天(今天)起来,估计是和我上次去网。监叔叔那儿喝茶的经历建立起了反射弧,上线就有人问我是不是在网站上写了啥不好的东西,说是要听    的话,    说啥就是啥,于是郁闷了,不过我没备用空间,网站出了这种囧事还真不好找地方公示,(不过我是遵纪守法好公民啊(从那次以后),不过不是有人说没喝过茶的站长会留有遗憾的啥的吗= =)起来之后恢复HTTP服务以示清白,我    ,又给卡了,丫真三俗,居然换域名了(就不能换个不用堆喷射的漏洞啊),重新屏蔽,更新状态,问客服,客服说技术员在查,查吧,我早上要出去了,不过还是有那啥啥IFRAME啊,怎么办?

这算内事还是外事啊,内事,问度娘,度娘很快的就给了我几个含糊不清的答案,某篇看得出来在被人转载了无数遍,历经UBB、HTML、FCK等等编辑器的摧残之后,已经一塌糊涂的CSS代码在人脑纠错的帮助下,整理出来了,大致就是在层叠样式表里面加入:

iframe{v:expression(this.src='about:blank',this.outerHTML='');}


我是打开THEMES\***THEME NAME***\STYLE\***THEME NAME***.CSS加入的,效果很强悍,敌我不分,毒网跟我自己的网页以及GOOGLE ADS全部挂了。

于是再度纠错,找出来个
#saframe{v:expression() !important}

补一行,加ID,TALK.asp已经可以加载了(呃,就是右上方被某些寂寞的人F5了无数次的那个小方格),但是GOOGLE ADS依然加载不了,因为它用的是SCRIPT的方式加载的,咱总不能跑GOOGLE后台去改他文件吧(况且没那能耐),先那么放着了,等到下午回来的时候呢,已经修好了,一切还原,不过这个CSS效果不错,部分页面给它保留下来了。

by blast 2010.8.8 沉重致歉 (挂马的再    一户口本)

缩短版,某些说我文章废话写的太多的人直接来这儿扫概要=,=:

被挂马,关机,开机,还是被挂马,吃饭,修复了。