站长共同声讨“ITSUN流量统计”贴
本文写于2008年11月20日,暂且称这件事为“ITSUN流量统计挂马事件”。请有相同遭遇的站长共同顶贴,以正流量统计服务行业行规,督促流量统计技术的发展。最近两天我在维护我的新站道路交通安全网的时候我的KILL杀毒软件就会提示拦截到木马。但我没太在意(其实我对自己的网站安全还是比较有信心的),还以为杀毒软件误报。
病毒提示入下:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
检测到 VBS/Psyme.J,在 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\IATC456G\614[1].HTM 中。
机器: rxjc,用户: rxjc\Administrator。
文件状态: 文件已修复; 已执行了系统修复。
检测到 JS/Midhena.D,在 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\XDRZM9G1\F11[1].HTM 中。
机器: rxjc,用户: rxjc\Administrator。
文件状态: 文件已修复; 已执行了系统修复。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
我一开始不相信,以为是自己本机中了木马,可是昨天晚上在查看Google搜索时我才发现网站下面被标注“该网站可能含有恶意软件,有可能会危害您的电脑。”。于是马上查看Google提供的“安全浏览诊断网页”发现罪魁祸首是ITSUN流量统计的JS代码。而且被挂马了三天时间,我真是大意啊!首先“问候”了ITSUN流量统计N遍。真不知道ITSUN是在干什么,究竟是不是恶意放马啊?如果不是恶意放马,那证明ITSUN技术不行。
代码如下:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
<script language='JavaScript' charset='gb2312' type='text/javascript' src='http://www7.itsun.com/count.php?uuid=1844367&style=icon'></script>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
我马上搜索了一下网上,的确有很多关于实用itsun后,被杀毒软件报病毒的事情发生。这时邮箱提示有新邮件,时间是在晚上8:04。打开一看,原来是Google发来的提示邮件。原文大意1、你的某些网页可能有导致用户感染恶意的软件或代码。2、建议你立即调查这起事件。3、从您的网页删除恶意软件、代码。4、一旦你担保您的网站已经安全,您可以提出取消Google上的警告访问标注审核。5、如果你的网站没有恶意代码或软件,我们将取消Google上的警告访问标注警告。
邮件原文:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Dear site owner or webmaster of 122114.net,
We recently discovered that some of your pages can cause users to be
infected with malicious software. We have begun showing a warning page
to users who visit these pages by clicking a search result on Google.com.
Below is an example URL on your site which can cause users to be
infected (space inserted to prevent accidental clicking in case your
mail client auto-links URLs):
[url]http://www.122114[/url] .net/
Here is a link to a sample warning page:
[url]http://www.google.com/interstitial?url=http%3A//www.122114.net/[/url]
We strongly encourage you to investigate this immediately to protect
your visitors. Although some sites intentionally distribute malicious
software, in many cases the webmaster is unaware because:
1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious
advertiser
If your site was compromised, it's important to not only remove the
malicious (and usually hidden) content from your pages, but to also
identify and fix the vulnerability. We suggest contacting your hosting
provider if you are unsure of how to proceed. StopBadware also has a
resource page for securing compromised sites:
[url]http://www.stopbadware.org/home/security[/url]
Once you've secured your site, you can request that the warning be
removed by visiting
[url]http://www.google.com/support/webmasters/bin/answer.py?answer=45432[/url]
and requesting a review. If your site is no longer harmful to users,
we will remove the warning.
Sincerely,
Google Search Quality Team
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
关于ITsun挂木马的细节问题,我没有细细去研究了,不过既然已经肯定是ITSUN的统计代码出现了捆绑木马,那就去掉ITSUN的统计代码吧。接下来就是把网站重新生成静态,15000篇文章用了大概不到一个小时,PHP168生成静态的速度就是快啊。在网站生成静态的同时,我登陆了Google网站管理员工具,还好,以前没时的时候申请的,现在刚好用上了。填写“请求重新审核”。
在申请中写了这样几句,首先感谢Google对本站的安全提示,让本站能在第一时间解决此次事件,避免了网站损失。通过调查是ITSUN流量统计的JS代码中带有病毒引起的,现在本站已经采取有效措施进行了网站全面的安全检查,已经将网站中的恶意代码去除。今后我们将加强网站的安全管理,避免类似事件发生。本站将采取一切措施与ITSUN流量统计对话,要求对方解释次此事件的真实原因。由于此次事件,做为站长对由此给Google和广大网友带来的损失深感抱歉。本站是以交通安全宣传为主的非盈利性质的网站,决无任何非主观上的恶意行为。最后还请Google安全小组重新对本站进行安全审核。(同时并附带了相关的一些证据资料。)
写完申请发出去已经是晚上11点过了,马上就收到了Google的回复。
回复内容:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
某位网站所有者要求我们重新考虑对以下网站编制索引的方式:[url]http://www.122114.net/[/url]
我们会审核此网站。 如果我们认为此网站已不再违反我们的网站管理员指南,就会考虑将其重新编入我们的索引。 请在发出重新审核请求后耐心等候几周的时间。 我们会审核所有请求,但很抱歉,我们无法一一回复每个请求。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
心中满是悲伤,网站刚换了域名,流量还没上去,各大搜索引擎还没有及时搜录,就遭成了这样恶劣的影响,实在是任何一个站长不愿意看到的结果。甩甩头,还是洗洗睡吧。
第二天一早上班后,习惯的打开网页一看,审核被通过了,“该网站可能含有恶意软件,有可能会危害您的电脑。”的标注被Google取消了。再详细查看昨天晚上的流量记录,Google居然在凌晨4点过通过的审核。看来Google的办事效率真是高啊(效率高的结果就是让我们更喜欢Google)。
当时激动的我差点掉下泪来,让我想起一句话“站长不容易啊!”——附:鱼你就让我落伍吧!5555555555
国内优秀的统计服务提供商们,希望你们能够真正将自己的服务做好,如果你的服务很完善了,我想即使你们采取适量收费服务,各位站长们也不会觉得不合情合理。可是如果用捆绑木马的手段带来隐藏的价值。我想只会冷了站长们的心哦。 一直用51.la [quote]原帖由 [i]busi[/i] 于 2008-11-20 23:26 发表 [url=http://www.im286.com/redirect.php?goto=findpost&pid=31318764&ptid=3052156][img]http://www.im286.com/images/common/back.gif[/img][/url]
一直用51.la [/quote]
我现在也用51.la 谷歌自带的统计也不错。 itsun
从去年开始就一直陆陆续续的发现病毒。
而且破坏杀毒软件,
因为那个还重装了两次系统,,,,
估计现在站长们都忘记这个鸟统计了 站长们该采取行动维护自己的利益了。 :ohh: 来看看
页:
[1]