铁通用户访问带google分析的网站弹广告的源由!
声明:这篇博文和英文站没什么关系,但是由于我的博客深受其害,且中间有些问题可能有些网友不是很了解,这里写出来为遇到类似问题的朋友提供一种方法!
起因
起因是朋友提醒我说我的博客有弹窗,我测试了IE8,Firefox,和chrome,都没有出现过这个问题,但是他那里一直弹,如下图:
弹窗代码是迅雷的游戏广告,我找了几位网友测试了下他们那都没有弹窗(在此再次感谢参与的网友)。而且朋友测试只有IE弹,Firefox是不弹的。在把源代码一行一行看了一遍以后,没有发现调用的迹象,打开一个和我在同一个IP的网站,人家的网站也没有弹窗,应该也不是ARP的缘故。
分析
这时候,朋友说有可能是google分析的原因,我去下了google分析以后,果然朋友那不再弹窗了。至于怎么发现是google分析的引起的,听说慢慢说来:
大家都知道IE的临时文件夹是个“藏污纳垢”的地方,杀毒软件杀出病毒木马很多都是在这个地方,打开临时文件夹看了下,弹出的广告上面是google分析调用的js(默认是按时间排序的).顺序如下,
于是初步判断是google分析出了问题,在撤掉google分析后不再弹窗也确定了这个判断。那么google分析怎么会调用迅雷的游戏广告,又是怎么样实现调用并只在一部分电脑上弹窗呢?
在将我的电脑的google分析js和朋友电脑上的google分析js进行了对比后发现,是js被修改了,弹窗的js如下图所示:
是不是看这个代码很熟悉(久病成医,在不断的中马过程中,我们也被迫习惯了识别木马),有很长一段时间挂马都是用的这个代码,解密方法不再赘述,解密出来后的地址如图所示:
主站是正在建设中,whois信息是个美国佬的。个中情况不甚清楚。。。。。。
那么js是怎样被修改的呢?既然我这没有弹窗,网友测试也没有弹窗,那么应该是朋友那有问题了,在确定朋友那没有中马以后(他还开了个个纯净的虚拟机测试),也排除了ARP的可能,因为打开其他的站都是没有弹窗的。这时就想会不会是铁通的DNS再次被劫持了?“再次”是因为铁通曾经劫持过cnzz,51.la,测试结果证明正是铁通的“再再次”劫持google分析造成的。原因找出来了,却无语了,你能把铁通怎么样?
原因找出来后,网上搜索了下,发现7月1-2号之间曾经出现过类似的铁通DNS劫持的情况,也曾有人发贴问,貌似没有解密出来挂马代码。也有人曾经打铁通的服务电话投诉,最终未果。
鸣谢:花费一个多小时帮我找原因的朋友,好哥们!
各位参与测试的网友!
