[資安通報] 盡快移除網站中的「站長工具 TWCOUNT 網站流量統計」工具

今天收到委託,表示他的網站只有在「手機版」時會「被跳轉一次」到垃圾網站!

聽著就覺得很有意思,趕快來查查~ 結果怎麼試還真的就很難再次觸發條件,判斷這是網站上安插的外部 Script 有問題。要檢測的話需要個別撤除來除錯,跟委託人表示過這個可能後,他馬上就找到一個可能的資源: TWCOUNT 站長工具

就算委託人測試過移除後就沒跳出來了,但還是不能隨便誣賴人家,要找到證據。

把委託網站 code 重整,模擬單獨對 TWCOUNT 請求來看看,換了兩組 IP 後終於被我發現病毒碼。

這段病毒碼會把當前請求的網站,與從哪裡來的 Referer 都當參數回傳給他的系統,然後吐出一組網址讓網站跳轉。

仔細想想,這病毒表現的特徵就很像 TWCOUNT 工具本身,會針對 IP 來顯示病毒,顯示過就不在輸出,而且還會去記憶(代表有資料庫),所以要抓到不容易。

但,這該不會就是這工具故意的呢? 原以為是。但後來追查他網域的 Whois 資料後發現:

Domain Name: TwCount.com
Registry Domain ID: 2494469410_DOMAIN_COM-VRSN
Registrar WHOIS server: whois.NameBright.com
Registrar URL: http://www.NameBright.com
Updated Date: 2020-02-19T00:00:00.000Z
Creation Date: 2020-02-19T07:00:00.000Z
Registrar Registration Expiration Date: 2021-02-19T00:00:00.000Z
Registrar: DropCatch.com 1323 LLC

這老牌的工具怎會是今年 2020/02/19 才註冊? 很明顯就是被駭客給搶著下來,然後針對有使用這工具的網站做無差別攻擊,且包裝的好好的。

賊~~ 真的賊XD 看他 code 就知道還順便統計被駭的網站數勒!

Facebook 外掛功能


Share:

作者: Chun

資訊愛好人士。主張「人人都該為了偷懶而進步」。期許自己成為斜槓到變進度條 100% 的年輕人。[//////////____30%_________]

參與討論

1 則留言

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *