关于360报告挂马情况的说明

mashan

从上面的情况看，这应该不是误报。
有可能是服务器染毒（被机房维护人员迅速清除所以少数人有报），或者是电信植入的广告带有木马，又或者外部调用的js（包括统计代码）染毒。

类似的情况我上个月也遇到了（我的网站也被挂马过，google的搜索结果都提示有危险了，360安全卫士也成功拦截了，用国外杀软没提示的人就郁闷了……）。稍微了解html常识的应该知道这类误报的概率几乎为零。

各位骂360的过于意气用事了。360对网页木马的监控还是其它软件杀软无法比较的，没有其它同类软件有这么高的覆盖率，上报的木马库和恶意网址也是最多的。


建议楼主把比标题改为《360、瑞星、AVG等报告挂马情况的说明》，否则这种误导成攻击360的帖子真不该（拦截了木马还被那些用拦截不了的杀软的人嘲笑……），尤其对于那些只看主贴不看回帖的人来说。

[ Edited by  mashan on 2010-6-7 01:38 ]

AAA

NOD32 表示情绪稳定

mashan

QUOTE:

Posted by alanfly on 2010-6-6 20:16
safe.189这个后缀是个gif的，实际是个脚本，可能因此被报毒；
下面是它的内容，好像是个访问统计的，上回论坛报毒也是这种类型的脚本。
963992
var url=document.referrer;
var p=url.toLowerCase().indexO ...

iframe src=http://microsoft26.9966.org:6677/

这种网址一看就知道是病毒木马的…… 【9966.org】已经是大名鼎鼎的挂马专用域名了，百度一下就知道了。

主贴以“360误报”来表明清白的做法实在不该，这样下结论实在过于仓促和不负责任。
服务器被黑（某个时间段）或者调用的外部js代码被植入木马的情况本身对于站长来说也是很难避免的。

严谨一些，对大家负责。

未必能找到挂马的源头（毕竟技术问题还是有的），但是至少应该发个正式的声明，不是引导大家嘲讽“误报”，而是应该提醒会员安装这次挂马的时候能够拦截的安全软件。

[ Edited by  mashan on 2010-6-7 02:03 ]

cybman

360、瑞星还敢用，真是无知者无畏啊。老鸟都应该知道这两家的底子。

mashan

另外，51nb和thinkpad.cn的两个域名跟“误报”也没有任何关系（即使是真的误报）。

因为多数人都是使用51nb的域名来访问，被挂马后自然会提示51nb的域名所绑定的网站存在问题。如果一个域名被发现存在多次告警，自然会把这个域名设为高危网址，而很少人使用的域名及时有告警但是次数少就不会进入高危网址黑名单。google对“含有恶意软件”的网站存在多个域名绑定的情况也是同样的处理方式。

挂马的那一刻，两个域名使用哪一个来访问肯定都会是同样的提示的。thinkpad.cn用的人少才没人反馈而已。

主贴的论点和论据完全靠不住！

swau508

QUOTE:

Posted by mashan on 2010-6-7 01:17
从上面的情况看，这应该不是误报。
有可能是服务器染毒（被机房维护人员迅速清除所以少数人有报），或者是电信植入的广告带有木马，又或者外部调用的js（包括统计代码）染毒。

类似的情况我上个月也遇到了（ ...

同意你的意见，不能人云亦云，个人觉得360还是不错的。。

facejava

网通用户 win7 x64 +金山卫士+nod EAV 4.2    访问http://www.ibmnb.com/ 无报错

bs一下娱乐公司和数字公司

HOPE

QUOTE:

Posted by mashan on 2010-6-7 04:21
另外，51nb和thinkpad.cn的两个域名跟“误报”也没有任何关系（即使是真的误报）。

因为多数人都是使用51nb的域名来访问，被挂马后自然会提示51nb的域名所绑定的网站存在问题。如果一个域名被发现存在多次告警，自然会把这个域名设为高危网址，而很少人使用的域名及时有告警但是次数少就不会进入高危网址黑名单。google对“含有恶意软件”的网站存在多个域名绑定的情况也是同样的处理方式。

挂马的那一刻，两个域名使用哪一个来访问肯定都会是同样的提示的。thinkpad.cn用的人少才没人反馈而已。

主贴的论点和论据完全靠不住！ ...

你说的情况似乎有道理，不过这也说明了360不讲道理。如果真的是被挂马了，那么不同域名下显示的网页内容应该是相同的吧，难道360报警挂马只针对域名，而对真的被挂马的网页却视而不见？报警只针对域名，而不是针对网页本身(即使这个网页确实是被挂马了)，对于这样的报警行为和能力实在让人难以理解和信任。

另外，昨天收到大家的报告之后，我们全面地检查了服务器上面的程序代码，没有发现异常，同时联系机房检查其它服务器是否有ARP感染，并将本站服务器作了ARP与MAC地址绑定。

swordzhu - 浅 浅

周围的人装一个我帮助他们删除一个！

HOPE

根据360的纪录，均为6月6日的纪录而没有7日起的纪录，说明目前已经的状态是正常的：

anchor007

360我是无视之，
不过不知道有没有兄弟和我一样用招行网盾的，这个就会经常报告51的一些页面在上传招行的帐户信息？？？？

elroy1568

QUOTE:

Posted by anchor007 on 2010-6-7 08:27
360我是无视之，
不过不知道有没有兄弟和我一样用招行网盾的，这个就会经常报告51的一些页面在上传招行的帐户信息？？？？

我也用招行  不过没用网盾  这个得关注下，LZ截个图出来吧

肖成

看来360是来向HOPE收保护费来了，今早网通域名这里也报木马了，不过360很心虚，那个报告挂马的窗口一闪就消失了！！！

shtaaa9967

从来见360就杀的路过

xwj86

昨天没上51NB...

虎虎happy

刚用IE打开51,就报了,用谷歌打开,米报..

xy3655

kis2011没动静

HOPE

10点23分，360已经撤下报警提示。

mskiller

360用的好的话还是不错的，别一棍子打死

evernever

avast 5 free一直没动静

mashan

QUOTE:

Posted by HOPE on 2010-6-7 08:13

你说的情况似乎有道理，不过这也说明了360不讲道理。如果真的是被挂马了，那么不同域名下显示的网页内容应该是相同的吧，难道360报警挂马只针对域名，而对真的被挂马的网页却视而不见？报警只针对域名，而不是针对网页本身(即使这个网页确实是被挂马了)，对于这样的报警行为和能力实在让人难以理解和信任。

另外，昨天收到大家的报告之后，我们全面地检查了服务器上面的程序代码，没有发现异常，同时联系机房检查其它服务器是否有ARP感染，并将本站服务器作了ARP与MAC地址绑定。

1，360这种发现页面被挂马后对整个域名进行告警的做法是业内惯例。安全软件不是搜索引擎，不会实时的检索、收录全站所有页面并且判断有多少百分比的页面有问题，只会根据用户访问页面遇到挂马次数才告警。我以前就职的一个日访问过百万IP的财经网站（当时是牛市四五千点）曾经也因为几个页面有问题导致所有页面都被google提示“包含恶意软件”，联系了google才得以快速解除。站在360安全软件或者google的一方，这种告警的做法是对用户负责的，虽然站长会觉得某个时刻（这个时刻可能很短暂，很多人没察觉）、某些页面被挂马就被扣上帽子而觉得冤（你要考虑到搜索引擎或者安全软件是无法识别是被第三方挂马还是站长自己在防毒的）。

2，从40楼的截图看，只能粗略判断是safe.189.cn/aq/ad01.gif被挂马，而51nb直接或者间接调用这个文件（而不是51nb程序文件本身被直接修改）。大概情况可能类似几年前一个很出名的提供网站统计服务的站点（类似51nb现在使用的cnzz），因为站点被挂马，所有使用该网站统计的网站（几十万个）全部被挂马，这是检查自己网站程序无法检查出来的，只能检查站内所有调用外部的东西了（图片、js等）。另外被挂马也只是一小段时间，不能以后来没告警来证明没发生过。

3，现在多数病毒木马都是出于利益驱使，并不会蓄意破坏电脑正常运行，而是潜伏下来伺机盗取网银、网游之类值钱的帐号，现在没法估计有多少人中标了，应该提醒该时段访问网站会员安装可以拦截、查杀该木马的安全软件，而不是大家一起嘲讽哪些成功拦截了木马的安全软件。

[ Edited by  mashan on 2010-6-7 12:02 ]

alanfly

QUOTE:

Posted by mashan on 2010-6-7 11:58


1，360这种发现页面被挂马后对整个域名进行告警的做法是业内惯例。安全软件不是搜索引擎，不会实时的检索、收录全站所有页面并且判断有多少百分比的页面有问题，只会根据用户访问页面遇到挂马次数才告警。我 ...

请问那个脚本具体是做什么的？
我不太懂，看起来像是在网页里内嵌了转向http://microsoft26.9966.org:6677/g/index的帧，打开这个地址显示地址不存在。

joey7208

win7 卡巴斯基，哪个域名都没反应啊，对卡巴斯基俺还是放心的，这家伙一般只有多报，没有漏报的

mashan

QUOTE:

Posted by alanfly on 2010-6-7 12:12

请问那个脚本具体是做什么的？
我不太懂，看起来像是在网页里内嵌了转向http://microsoft26.9966.org:6677/g/index的帧，打开这个地址显示地址不存在。

当前是没什么反应。
也许木马作者没有找到掏钱的主，所以没搞小动作也可能的~~~有些木马就是为了帮出钱的人刷alexa排名，谁出钱就弹它的网址。

yanky

我晕，360的杀毒各位大大豆用？完全就是骗人的玩意。。。基本技术就是文件名识别。。。把我们写的一个漏洞检测的程序都当病毒杀了，sb啊

JSL_Night

51NB.COM指向的IP是服务器的IP吗？有可能域名被人劫持了吧**\

pto999

ess4正常

wooooooo

QUOTE:

Posted by mashan on 2010-6-7 01:43


iframe src=http://microsoft26.9966.org:6677/

这种网址一看就知道是病毒木马的…… 【9966.org】已经是大名鼎鼎的挂马专用域名了，百度一下就知道了。

主贴以“360误报”来表明清白的做法实在不该， ...

一直对360没好感，总觉得你是360的托

yufengdoo

呵呵~~我的是裸奔，如果你不上那些乱七八糟的网站基本没事的

james_zh

使用NOD32和小红伞均未报错!