自2012年以来，出走网站两次被植入广告链接，植入的广告地址是同一个 ad.ox11.com 。

第一次挂马发生在2012年11月，当时有北京以外的社友反映，登录 www.chuzo.org 网站时会弹出游戏广告网站窗口。当时，我也注意到出走网页上有指向 ad.ox11.com 的链接，但直接连接该网址没有任何反应，或是报告链接不存在，曾以为是ISP劫持了我的浏览器。11月15日，社友 wordless 发现在JS脚本文件 www.chuzo.org//Js/Nav.js 的末尾多了一行：

document.write('');

这段代码会在每个调用Nav.js脚本的出走网页里插入一个木马：

http://ad.ox11.com/ip.asp?loc=beijing

因而打开网页时会弹出一个游戏网站。根据 http://bbs.chinaz.com/Club/thread-5560202-1-1.html（搜索 ad.ox11.com 可得到更多信息），字段 loc=beijing 的作用是指出网站管理员的地址是北京并禁止木马执行。

删除Nav.js里多出的那行代码后，出走网站恢复正常。

***

第二次挂马现象是社友瑞草首先报告的，但在北京的社友南瓜叶否认出现游戏弹窗，同在北京的小撮曾以为是ISP捣乱，见https://cuzo.sanzhi.org.cn/yululist.asp?id=83795，而近日在外地游动的京区社友京都水怪则证实了瑞草的说法（https://cuzo.sanzhi.org.cn/yululist.asp?id=83825）。说明这个木马又是不在北京地区发作。

我再次注意到出走网页上有指向 ad.ox11.com 的链接。根据第一次的经验，我查验了Nav.js脚本，发现在其中部有以下反常语句：

这个跟第一次挂马的情况很相像，但更加隐蔽，用 /101 表示 a，/117 表示 o，用 /103 表示 c。

删除上述一行后，出走网站再次恢复正常。

据小撮核查，第二次木马注入的方式是旁注，即通过同主机其他网站的漏洞侵入出走网站的。

***

两次挂马的情况表明，木马是通过在JS脚本文件 www.chuzo.org//Js/Nav.js 中用 document.write 命令塞入出走网页的，且有意避开网站管理人员驻地执行。

因此，我们要注意 Nav.js 脚本里含有 document.write 的语句。

我的微信里已经有你了啊，呵呵

蕾丝有微信号吗？我们建个微信群，方便应急反应。

把那个图标去掉了，换了验证的方法。

我加的

360的那个小绿图标，我也能看到。以前好像没有，不知道系统加的还是站长加的。

我查到木马是用的笨方法，那时不知道有工具。

弹出广告窗口的规律是，每天（或者是其他周期）的第一次打开出走社网站，就会弹出，接下来再刷新，就不会出了。这个很简单，我只需要清除cookie，就可以每次都弹出，即可以复现问题了。实际上我用wget抓网页，根本不会保存cookie。

然后是监听报文，抓到打开出走社时浏览器获得的全部数据，分析，没发现什么异常。

然后就是看打开了哪些js文件，再把js文件拉下来，分析代码，就发现了问题。

目前正在试用第三方安全检测工具。

为了使用360网站安全检测（http://webscan.360.cn/），需要验证管理员权限，不得不加上几行代码，于是就显示那个图标了，人人都能看见。采用别的验证方式也许可避免显示广告图标。

类似工具很多，大公司的如百度站长工具http://zhanzhang.baidu.com/和Google网站站长工具http://www.google.com/webmasters/tools/?hl=zh_CN，前者的漏洞检测仍处于Beta阶段，后者的功能似乎还较弱。也都需要管理员权限验证的。

在网页的右下角有个绿色的小图标，非常小，我点了一下是360的安全检查网站，这东西是咱加上的还是被加上的，还是只有我能看到？

很想问问蕾丝，是用什么方法查到nav,js这个文件被挂马的？