51cto全站遭JS挂马技术分析

       晚上无意中注意到，ie8中得隐私报告提示51cto博客中有包含第三方域名www.dachongzi.cn的js对应的cookies被限制或阻止，如下图所示：

       很奇怪，为何51cto如此大得技术类网站会包含这么一个不起眼的域名相关的cookies，这引起了我的注意，接下来一探究竟。

        立马打开fiddle，看看可能是那个js包含的内容里被注入了，刷新51cto博客，在fiddle中搜索可疑的域名dachongzi.cn搜索到一条记录，如下图所示，

     然后从这条记录往前看，想必是前面的某个js中包含了加载这个域名的内容，往上看到一个路径为http://logs.51cto.com/rizhi/count/count.js的js，通过ie访问这个js，打开之后发现这个js的最后赫然写着document.write("<img src=\"http://www.dachongzi.cn/index.asp\" width=\"0\" height=\"0\"/>");
js挂马，通过一个宽度和高度都为0的图片将自己主页加载，51cto的流量还是相当大得，如果有这么一个站挂上自己的页面，那流量也是相当牛逼的了，流量SEO的好手段呀，想着我不禁流口水了。根据这个js的功能可以判断这是一个站点访问统计相关的js，估计51cto里面不少的子站都在使用这个脚本来统计流量。那接下来就需要看看51cto里面有多少子站可能被挂马了，上百度，搜索domain:51cto.com返回了约10,700,000个查询结果，看关键的子站域名，发现包括51cto主站、网络安全频道、开发者频道、论坛、网络频道、读书频道、操作系统频道、博客频道、下载频道、数据库频道、移动频道、新闻频道、java频道、服务器频道、虚拟化频道、技术频道、系统应用频道、家园频道、技术频道在内的大大小小21个左右的域名所对应的站点均被挂上了这个站点的看不见的页面，也就是说51cto中所有包含http://logs.51cto.com/rizhi/count/count.js这个js的页面 接受访问时都会访问http://www.dachongzi.cn/index.asp这个页面，被JS挂马的51cto相关二级域名包括：
http://www.51cto.com/
http://netsecurity.51cto.com/
http://developer.51cto.com/
http://bbs.51cto.com/
http://network.51cto.com/
http://book.51cto.com/
http://os.51cto.com/
http://blog.51cto.com/
http://down.51cto.com/
http://fellow.51cto.com/
http://database.51cto.com/
http://cloud.51cto.com/
http://mobile.51cto.com/
http://training.51cto.com/
http://news.51cto.com/
http://developer.51cto.com/java/
http://server.51cto.com/
http://virtual.51cto.com/
http://sysapp.51cto.com/
http://home.51cto.com/index.php?s=/Home/index
http://tech.51cto.com/
        那看看这个www.dachongzi.cn域名指向的是哪个站点呢？打开一看吓一跳居然跟51cto的下载站高仿，只不过站点的名字换成了“大虫子在线共享 - 技术资料免费下载 - 中国大学下载联盟”高仿呀，真假美猴王？再看看logo除了抹去了down.51cto.com的字样以外”51cto通行证“换成了“大虫子通行证”，“我们共分享了250638个技术资源。 今日新增526个，17677人正在下载。”比起当前51cto下载频道“我们共分享了250655个技术资源。 今日新增527个，17856人正在下载”总公分享的技术资源假美猴王比真美猴王少17个，今日新增的少一个，正在下载的人数少百十来个，六耳猕猴跟大圣的本事差不多呢。
         反过来一想http://www.dachongzi.cn/这个站点是不是51cto接下来要推广的一个站点呢，别写完这篇文后被大家喷了，先去百度查一查，别人有没有发现这个假的美猴王呢？发现一条记录2011-09-30 06:38:00名为feitat的网友曾经在51cto的意见反馈栏目里举报过这个网站

“你好，我刚刚发现了一个跟51cto下载中心非常相似的山寨网站：http://www.dachongzi.cn”
管理员回复：“您好！非常感谢您的举报，我们会通过合法渠道联系对方，要求停止侵权。”
但时至今日，不见这个网站侵权停止，转而愈演愈烈的时直接将冒牌货以隐藏的形式 堂而皇之的藏在孙大圣的虎皮裙里，不得不让我瞠目结舌，此时我感觉到失态有点严重了，马上给邵程程发QQ消息提醒
接下来看看这个域名到底是谁所有，去查whois信息,如下图：

 

注册人叫朱孔亮，使用的是dnspod的DNS服务器。08年在新网注册，12年年底域名到期
查IP地址116.255.146.242#河南省郑州市景安计算机网络技术有限公司
查询指向该IP的域名列表如下：
1. www.mp4sky.com  MP4_中国最权威的MP4网站 -MP4天空
2. www.haohuojia.com  货架 超市货架,仓储货架
3. www.onlinepdftoword.com 
4. www.dachongzi.cn  大虫子在线共享 - 技术资料免费下载 - 中国大学下载联盟
5. www.ganxisky.cn  程序开发网 - 源代码共享下载
6. www.readtaobao.com  淘宝排行榜 - 淘宝网店铺销售排行榜
7. www.sddshc.com  岽晟海辰
8. www.yun100.com  孕贝团
9. www.cece.net.cn  淘宝批发网,淘宝网开店免费代理货源-淘宝网皇冠店铺普遍选择的进货渠道
10. www.chinahotthings.cn  淘宝排行榜 - 淘宝网店铺销售排行榜
11. www.liehuosoft.com  烈火绿色软件站 - 中国软件绿化破解联盟
12. www.qdmcgw.com  美辰顾问

其中4、5两个站点都是51cto相关站点的高仿的。
而查看http://logs.51cto.com/rizhi/count路径能够知道使用了nginx，此处如果logs.51cto.com站点对应的文件未被恶意修改，那估计是nginx缓存的数据被污染。

      51cto作为业界较著名的技术类站点，尤其是51cto博客的运营更是细致入微，此次js挂马从最早有人发现dachongzi.cn站点抄袭51cto下载频道开始到现在两个月没有解决这个问题，确实不应该。另外所有子站点中均使用llogs.51cto.com站点中得js，尤其要注意站点的安全，希望51cto能够尽快解决这个问题，广大网友为51cto贡献流量，接下来流量却为控制dachongzi.cn站点的黑手贡献流量，实在不应该。

本文出自 “@天行健中国元素” 博客，转载请与作者联系！