昨天晚上在寫完《何去何從》那篇東西的時候突然發現我的博客頁面出現異常， 癥狀就是頁面內容靠左了， 正常的話就是在中間的。 問了問朋友也覺得不正常了， 習慣性地打開博客主頁的源文件。 不看還行， 一看差點沒嚇暈過去!源碼中第一句便是一個插iframe框架的代碼!!!暈了， 博客居然被人掛馬了。 這套程序雖然寫得不怎么好， 不過后臺已經做了些改動， 就算進了我的后臺也是沒那么容易得到webshell的。 文件編輯功能去掉的了， 自定義上傳文件類型也去掉了， 其他基本上還有些文本編輯的功能了。 被黑了雖然是十分的不爽， 沒開張幾天就中標了， 那還得了?!不過因為我沒有FTP權限， 不能上去看看到底發表了什么事， 所以服務器上面只能等朋友解決了。 我想我也不能干等嘛， 就想去分析下那個馬。 這個馬挺有意思的， 不是普通的htm或者html后綴， 居然是一個asp后綴的文件!這種馬我倒還真是第一次見呢， 直接打開頁面顯示空白。 叫朋友幫忙看了看， 居然說打開我的博客不報毒， 直接打開那個馬所在的文件就報毒了。 郁悶， 還有這種事的。 后來又和朋友討論了一下才知道最近興起了這類asp的網頁木馬。 雖然直接打開是看不到任何代碼， 不過卻是可以用迅雷這類下載工具下載回本地再看的。 不過下回本地后發現更有意思， 里面的代碼是倒著寫的， 比如EXE文件的下載地址就是這樣的：exe.namnwod/segami/8050/swen/moc.iebug.www//:ptth。 要不是認真看還真看不出來呢， 看來馬的作者果然有一手!

　　找到了EXE文件的下載地址當然就是去下載回來分析下了。 下載目標地址的EXE文件后， 大小13K。 用PEID查了一下， 加的是UPX的殼， 直接用PEID自帶的UPX脫殼機就脫掉了殼， 脫殼后程序大小為48K。 圖標是MSN的圖標， 再用PEID看了一下， 居然是什么也沒有發現， 看來還有別的保護。 不管了， c32asm載入， 查找關鍵字， 沒有發現下載地址信息， 也沒有上線信息等， 確定應該不是下載者類。 不過看到有不少@字符， 初步估計是盜號類木馬了。 而且還發現很多和MSN相關的字符。 由于自己的反匯編能力確實很有限， 所以請出ASM大俠幫忙分析。 沒多久結果就出來了， 是個盜MSN賬號密碼的， 運行后會在c:\windows\system32\目錄下釋放msnmsgr.exe文件。 跳到系統目錄下， 不好意思， 我中標了!果然發現有msnmsgr.exe這個文件， 趕緊刪除掉。 不過這個文件沒有一點難度就刪掉了， 還真是不太爽。 問了問ASM， 他說這個程序根本沒執行到盜號那一步就執行自刪除了， 換句話說就是中了也等于沒中， 難怪這么輕易就T出硬盤了!這馬白寫了， 唉， 可憐的作者。 自刪除方式還是創建bat文件實現的呢， 呵呵。 還有插入線程等一些木馬所具備的功能， 不過目的都沒實現就自行了斷了就的確可惜了!至于放馬的那個站， 簡單的看了看發現不容易拿下就沒去理它了。 這個網馬還是MS07004、MS06090、QQEXP三個在一塊來的呢， 夠厲害了!至此， 關于這個馬的分析就告一段落了。

　　不得不要提的就是， 這個掛得很奇怪：我訪問的所有頁面都會被在同一位置插入那行iframe框架代碼， 包括后臺管理頁面。 雖然說如果得到了webshell的話， 要做到這一點并不難， 來個批量掛馬就OK了。 不過我的博客才開沒幾天， 又沒有什么流量。 那家伙為什么要黑我的呢?貌似沒有什么動機。 知道我開博客的人也不多， 有能力黑了的更是屈指可數了。 由此初步斷定入侵者應該不是針對我而來的， 要么是旁注的， 發現有站就順手掛上了;要么就是傳說中ARP欺騙掛馬大法了!說到ARP掛馬這招我以前倒是沒聽說過的， 雖然玩過ARP欺騙攻擊， 也曾經和朋友ARP弄過一個黑客站。 但是ARP用來掛馬還是頭一回聽說。 信息來源是紫俠客提供的， 他說最近在流行一種ARP欺騙掛馬， 說我博客的癥狀極有可能是ARP干的了!手上根本沒有任何關于ARP掛馬的資料， google了一會終于有結果了， 原來是某個病毒的一種傳播方式。 毒是夠毒的了， 只要拿到同一網段下的其中一個服務器權限， 就可以對目標進行掛馬操作了， 根本無需得到目標網站的任何權限， 就可以把你的馬掛到上面， 夠狠了吧!由于事發當晚朋友FTP連接不上去， 具體原因無法查明， 初步斷定用的就是ARP掛馬了。 入侵者并不是有意針對我的， 只是我的博客空間剛好在那個網段， 人家一動手就中標了。 還有就是我的windows居然不能更新了， 手動更新的時候提示我的系統不理正版(本來就不是的啦)了， 難怪N長時間沒有自動更新了， 原來MS認出我的系統是盜版的了， 唉。 看來得想個辦法更新才行了。 要不天天中馬就不爽了， 萬一哪天一不小心中了個遠程控制木馬， 那滋味可不爽啊!

　　這次博客被黑事件雖然不爽， 但是也因此而同時接觸到了不少新事物。 后來就轉移了空間， 弄到安全的地方上去了， 還叫朋友幫忙分析這套程序的代碼， 主要是想看看到底哪些地方不夠安全， 把危險指數降到最低才是最重要的嘛。 期間還得麻煩我的朋友們了， 博客訪問不了， 真的不好意思了哦。 還有就是幫我分析木馬、關心我的所有人和幫我轉移了空間的朋友， 我在這里向你們說一句：同志們， 辛苦了!等我有幾個億身家的時候送你們幾車鈔票， 哈哈……