本篇文章更新時間:2020/03/25
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知。
一介資男的 LINE 社群開站囉!歡迎入群聊聊~
如果本站內容對你有幫助,歡迎使用 BFX Pay 加密貨幣 或 新台幣 贊助支持。
今天收到委託,表示他的網站只有在「手機版」時會「被跳轉一次」到垃圾網站!
聽著就覺得很有意思,趕快來查查~ 結果怎麼試還真的就很難再次觸發條件,判斷這是網站上安插的外部 Script 有問題。要檢測的話需要個別撤除來除錯,跟委託人表示過這個可能後,他馬上就找到一個可能的資源: TWCOUNT 站長工具
就算委託人測試過移除後就沒跳出來了,但還是不能隨便誣賴人家,要找到證據。
把委託網站 code 重整,模擬單獨對 TWCOUNT 請求來看看,換了兩組 IP 後終於被我發現病毒碼。
這段病毒碼會把當前請求的網站,與從哪裡來的 Referer 都當參數回傳給他的系統,然後吐出一組網址讓網站跳轉。
仔細想想,這病毒表現的特徵就很像 TWCOUNT 工具本身,會針對 IP 來顯示病毒,顯示過就不在輸出,而且還會去記憶(代表有資料庫),所以要抓到不容易。
但,這該不會就是這工具故意的呢? 原以為是。但後來追查他網域的 Whois 資料後發現:
Domain Name: TwCount.com
Registry Domain ID: 2494469410_DOMAIN_COM-VRSN
Registrar WHOIS server: whois.NameBright.com
Registrar URL: http://www.NameBright.com
Updated Date: 2020-02-19T00:00:00.000Z
Creation Date: 2020-02-19T07:00:00.000Z
Registrar Registration Expiration Date: 2021-02-19T00:00:00.000Z
Registrar: DropCatch.com 1323 LLC這老牌的工具怎會是今年 2020/02/19 才註冊? 很明顯就是被駭客給搶著下來,然後針對有使用這工具的網站做無差別攻擊,且包裝的好好的。
賊~~ 真的賊XD 看他 code 就知道還順便統計被駭的網站數勒!
這…. 太奸詐了,包裝得太好了