注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Ares

游戏人生

 
 
 

日志

 
 

山东网通也开始ndatin.aspx~~  

2006-12-08 16:12:00|  分类: 技术人生 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
前天下午,我访问我为客户做的网站:http://www.hkkaw.com,页面打开后发现IE标题栏显示的是http://www.hkkaw.com/index.asp并非我在首页Index.asp中<TITLE></TITLE>段中指定的"汇康抗癌网",并且我发现无论我点击进入什么栏目,IE地址栏始终显示"http://www.hkkaw.com/index.asp",立刻在IE菜单中点"查看->源文件",发现是以下内容:
 
<HTML><frameset border='0' frameSpacing='0' rows='0,100%' frameBorder='0'>
<frame id ='frm123' name='frm123' src='http://124.128.255.69:8787/ndatin.aspx?param=ABdXNlcm5hbWU9bGE5OTgyODAwJnBvbGljeWlkPTIz&ref=1'><frame id ='frmOLD' name='frmOLD' src='http://www.hkkaw.com/index.asp?'></frameset></HTML>
 
熟悉HTML的人一眼就明白了,正常的页面被框架了,'frm123' 看起来似乎是一个广告页或其他页面,大小为0,所以看不到,而'frmOLD' 里就是本应该正常访问的URL.
我心想不好,服务器被攻击了...
立刻登录服务器检查,却找不到任何被攻击的迹象,也找不到任何的木马病毒或流氓软件~~
难道是本机出问题了????立刻更新杀毒软件,却查不到任何东西,查看IE插件,也没有什么不正常,注册表也无可疑项...
先查询IP来源:124.128.255.69
结果如下:
山东 网通
竟然是网通,忽然想起曾在网上见过类似问题...于是打开GOOGLE,搜索"ndatin"......
结果发现有好多类似ndatin.aspx的情况,不过大多是电信用户,这里摘抄部分用户对此问题发表的文章:
 
_________________________________________________________________
 
前段时间电信用户站长们反映他们打开网页时老是弹出一个小窗口,自己的机器好好的,只要一打开网页就会弹出来,还有的站长反映只要连网就会每隔几十分钟弹出一次,对于像CS 爱好者来说这是一个巨大的打击,无法忍受,很多人怀疑是木马,用金山用瑞星用诺顿都杀一次,还是没有查出问题,最后非常无奈到网络上来求救。为了让大家少走很多冤枉路,我这里进行一次比较客观的说明,如果有不正确或不足的还请修正补充;
如果你网络经验比较多的话你可以从源文件中获取下面这段代码:
<HTML><script language="JavaScript">
function newwin()
{var urlname;var win_attr;win_attr='toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=10000,left=10000 ';window.open('http://220.167.29.103:9123/ndatin.aspx?param=ABdXNlcm5hbWU9YWNjZXNzdGliZXR0b3VyJnBvbGljeWlkPTM=&ref=1','ips_win0',win_attr);
  }
</script>
如果你够细心,你会发现你打开每个网页的时候都会刷新两次,比如你打开 http://www.anywolfs.com,浏览器不会直接转到这个网址上来,而是转道一个http://220.167.29.103:9123?.....  后面跟一段非常长的参数,如果你查看源代码你会发现是这些代码:
<HTML><frameset border='0' frameSpacing='0' rows='0,100%' frameBorder='0'>
<frame id ='frm123' name='frm123' src='http://220.167.29.103:9123 /ndatin.aspx?param=ABdXNlcm5hbWU9MjIyMDAwOTBAcXphZHNsJnBvbGljeWlkPTIx&ref=1'><frame id ='frmOLD' name='frmOLD' src='http://www.anywolfs.com/?'></frameset></HTML>
之后才会从新跳转到http://www.anywolfs.com的主页上面来,为什么会有上面这段代码呢?细心的用户会发现,这段代码只出现在电信用户群中,网通和铁通用户都没有这些问题:
其实以上这段代码是用来验证和传递我们上网的一些信息的,它会将我们上网的一些记录传递给电信的这台服务器,目的是监视我们上网状况。
当然它本身不会对我们的使用造成多大的伤害,只是给人感觉好象自己的秘密被人窃听了,非常的不舒服。
我想看了我这片文章的站长们应该了解具体问题了,希望大家不要浪费时间去查杀它,我们只能无奈的被电信强奸,而且没有反抗余地
 

——————————————————————————————————
 

 最近访问网络的时候,偶尔会自动刷两下然后才能打开,如果正好那个自动刷两下的网页在IFRAME里,那么他就自动跑到顶层框架里了。
  
  因为上别的网站不多,最开始发现这个问题是在我要啦统计报告页,其中一个IFRAME里的广告老是跳成顶层框架替换当前网页,还要后退一下才能看统计报告。于是就把IFRAME里的网页改名,把网页里的FLASH改名,把IFRAME里的网页放在别的域下,都不能解决。
  
  让别人试了,没有这个问题,并且后来发现自动刷的不仅仅是我要啦,ZOL、落伍等都会自动跳两下,今天早上开始更厉害了,几乎所有没打开过的网站第一次打开的时候都会自动刷两下,如果是打开过的,过一会儿再打开也会跳上两下。
  
  和大多数人一样,我以为是浏览器出了问题或者是中木马了,把麦咖啡卸载换成诺顿,问题依旧。
  
  最后感觉这种自动刷新一定有蹊跷,于是装上网络嗅探器。问题找到了,比如当我访问 baidu.com 的时候,实际上是这样一个过程:
  
  1、输入 baidu.com 回车,这时候浏览器读取到的并不是百度的内容,而是一个跳转JS,跳转到
  219.133.33.37:7010/ndatin.aspx?rd=101492....
  2、上面那个地址很长,后面跟着复杂的参数,是用来验证和传递我上网的一些信息的。内容很简单,跳回 baidu.com。
  3、baidu.com 打开。
  
  这样就跳(自动刷新)了两次。
  
  于是在搜索引擎搜“ndatin.aspx”,结果问题就明白了,的确是电信搞的鬼,不同的是他们是弹出 ndatin.aspx ,而我的是先跳到 ndatin.aspx 被记录一下然后再跳回我要访问的地址。
  
  现在临时的解决方法是在MYIE里把地址 *ndatin.aspx* 作为广告过滤掉,这样的坏处是有时候打开的网页不自动跳到我要的目标,而是显示为被屏蔽广告,但是好处是IFRAME里的网页不会因为跳转而变成顶层框架影响我正常的浏览。
  评论这张
 
阅读(86)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018