来自 DDOS 2021-05-03 05:09 的文章

ddos高防ip_高仿和正品的区别在哪_限时优惠

ddos高防ip_高仿和正品的区别在哪_限时优惠

Cleartrip.com网站感染了黑洞攻击工具。Cleartrip用于预订印度的航班、酒店和IRCTC印度铁路的机票。它是领先的在线预订门户网站。最近,我在搜索航班信息和我的桌面防病毒程序发出了以下警报:AVG antivirus的感染警报。AVG在下一页检测到黑洞攻击:hxxp://www.cleartrip.com/eadserver/delivery/afr.php?zoneid=43&target=_blank&cb=0.027297518110020458让我们来看看访问页面时拍摄的wireshark捕获。数据包捕获快照cleartrip.com网站"的页面内容"hxxp://www.cleartrip.com/eadserver/delivery/afr.php?zoneid=43&target=_blank&cb=0.027297518110020458"被破坏了,但是在站点上搜索了一段时间后,ddos防御100g,我最终能够找到相同的恶意代码,并且具有完整的去模糊逻辑。这次识别的URL是:hxxp://www.cleartrip.com/eadserver/delivery/afr.php?zoneid=43&target=\u blank&cb=0.46843633663340656。为了进一步分析,我们将查看页面内容。代码片段如下所示:被阻止页面的代码源大部分内容都是模糊的,因此我们需要首先对其进行反模糊处理,网站ddos防御,以便进一步分析。让我们看看这次交付的混淆代码:混淆代码源。对上述代码进行模糊处理后,显示了JavaScript,cc攻击防御高防服务器,它创建了一个1x1像素的iFrame指向"hxxp://trafficgoodster.info/banners.cgi?advert_id=1&banner_id=1&chid=341a8fca26bcf7830499c1c5f8e359"去模糊处理后的代码如下所示。幸运的是,Google在iFrame标签中黑名单了那个特定的URL。让我们看看页面的源:源页面视图。这个URL显示一个.gif文件,但是如果您仔细查看,ddos防御怎么设置,DDOS的防御方法,您会看到iFrame也被传递了。正是这个URL(上面突出显示),它指向黑洞漏洞工具包。iframe中使用的.info域注册一年,最近才注册。当然,新注册的域往往具有更高的风险,因为攻击者通常会为单个攻击注册新名称。让我们对域进行whois查询:域名:TRAFFICGOODSTER.INFO创建时间:2012年6月14日07:52:31 UTC上一次更新时间:2012年6月14日07:52:31 UTC到期日期:2013年6月14日07:52:31 UTC垃圾邮件发送者也更喜欢.info域,因为它们的注册成本低于.com或.net域名。内容的反模糊处理版本如下所示:反模糊处理的内容。Zscaler已经通知cleartrip.com网站在这个感染上。我感谢我的同事Pradeep Kulkarni帮助分析了这种感染。Zscaler_媒体_中心2_博客_发布_1-R1