51cto全站遭JS掛馬技術分析

       晚上無心中注意到，ie8中得隱私報告提示51cto博客中有包含第三方域名www.dachongzi.cn的js對應的cookies被限制或阻止，以下圖所示：

       很奇怪，爲什麼51cto如此大得技術類網站會包含這麼一個不起眼的域名相關的cookies，這引發了個人注意，接下來一探究竟。

        立馬打開fiddle，看看多是那個js包含的內容裏被注入了，刷新51cto博客，在fiddle中搜索可疑的域名dachongzi.cn搜索到一條記錄，以下圖所示，

     而後從這條記錄往前看，想必是前面的某個js中包含了加載這個域名的內容，往上看到一個路徑爲http://logs.51cto.com/rizhi/count/count.js的js，經過ie訪問這個js，打開以後發現這個js的最後赫然寫着document.write("<img src=\"http://www.dachongzi.cn/index.asp\" width=\"0\" height=\"0\"/>");
js掛馬，經過一個寬度和高度都爲0的圖片將本身主頁加載，51cto的流量仍是至關大得，若是有這麼一個站掛上本身的頁面，那流量也是至關牛逼的了，流量SEO的好手段呀，想着我不由流口水了。根據這個js的功能能夠判斷這是一個站點訪問統計相關的js，估計51cto裏面很多的子站都在使用這個腳原本統計流量。那接下來就須要看看51cto裏面有多少子站可能被掛馬了，上百度，搜索domain:51cto.com返回了約10,700,000個查詢結果，看關鍵的子站域名，發現包括51cto主站、網絡安全頻道、開發者頻道、論壇、網絡頻道、讀書頻道、操做系統頻道、博客頻道、下載頻道、數據庫頻道、移動頻道、新聞頻道、java頻道、服務器頻道、虛擬化頻道、技術頻道、系統應用頻道、家園頻道、技術頻道在內的大大小小21個左右的域名所對應的站點均被掛上了這個站點的看不見的頁面，也就是說51cto中全部包含http://logs.51cto.com/rizhi/count/count.js這個js的頁面 接受訪問時都會訪問http://www.dachongzi.cn/index.asp這個頁面，被JS掛馬的51cto相關二級域名包括：
http://www.51cto.com/
http://netsecurity.51cto.com/
http://developer.51cto.com/
http://bbs.51cto.com/
http://network.51cto.com/
http://book.51cto.com/
http://os.51cto.com/
https://blog.51cto.com/
http://down.51cto.com/
http://fellow.51cto.com/
http://database.51cto.com/
http://cloud.51cto.com/
http://mobile.51cto.com/
http://training.51cto.com/
http://news.51cto.com/
http://developer.51cto.com/java/
http://server.51cto.com/
http://virtual.51cto.com/
http://sysapp.51cto.com/
http://home.51cto.com/index.php?s=/Home/index
http://tech.51cto.com/
        那看看這個www.dachongzi.cn域名指向的是哪一個站點呢？打開一看嚇一跳竟然跟51cto的下載站高仿，只不過站點的名字換成了「大蟲子在線共享 - 技術資料免費下載 - 中國大學下載聯盟」高仿呀，真假美猴王？再看看logo除了抹去了down.51cto.com的字樣之外」51cto通行證「換成了「大蟲子通行證」，「咱們共分享了250638個技術資源。 今日新增526個，17677人正在下載。」比起當前51cto下載頻道「咱們共分享了250655個技術資源。 今日新增527個，17856人正在下載」總公分享的技術資源假美猴王比真美猴王少17個，今日新增的少一個，正在下載的人數少百十來個，六耳獼猴跟大聖的本事差很少呢。
         反過來一想http://www.dachongzi.cn/這個站點是否是51cto接下來要推廣的一個站點呢，別寫完這篇文後被你們噴了，先去百度查一查，別人有沒有發現這個假的美猴王呢？發現一條記錄2011-09-30 06:38:00名爲feitat的網友曾經在51cto的意見反饋欄目裏舉報過這個網站

「你好，我剛剛發現了一個跟51cto下載中心很是類似的山寨網站：http://www.dachongzi.cn」
管理員回覆：「您好！很是感謝您的舉報，咱們會經過合法渠道聯繫對方，要求中止侵權。」
但時至今日，不見這個網站侵權中止，轉而愈演愈烈的時直接將冒牌貨以隱藏的形式 冠冕堂皇的藏在孫大聖的虎皮裙裏，不得不讓我瞠目結舌，此時我感受到失態有點嚴重了，立刻給邵程程發QQ消息提醒
接下來看看這個域名究竟是誰全部，去查whois信息,以下圖：

 

註冊人叫朱孔亮，使用的是dnspod的DNS服務器。08年在新網註冊，12年年末域名到期
查IP地址116.255.146.242#河南省鄭州市景安計算機網絡技術有限公司
查詢指向該IP的域名列表以下：
1. www.mp4sky.com  MP4_中國最權威的MP4網站 -MP4天空
2. www.haohuojia.com  貨架 超市貨架,倉儲貨架
3. www.onlinepdftoword.com 
4. www.dachongzi.cn  大蟲子在線共享 - 技術資料免費下載 - 中國大學下載聯盟
5. www.ganxisky.cn  程序開發網 - 源代碼共享下載
6. www.readtaobao.com  淘寶排行榜 - 淘寶網店鋪銷售排行榜
7. www.sddshc.com  崬晟海辰
8. www.yun100.com  孕貝團
9. www.cece.net.cn  淘寶批發網,淘寶網開店免費代理貨源-淘寶網皇冠店鋪廣泛選擇的進貨渠道
10. www.chinahotthings.cn  淘寶排行榜 - 淘寶網店鋪銷售排行榜
11. www.liehuosoft.com  烈火綠色軟件站 - 中國軟件綠化破解聯盟
12. www.qdmcgw.com  美辰顧問

其中四、5兩個站點都是51cto相關站點的高仿的。
而查看http://logs.51cto.com/rizhi/count路徑可以知道使用了nginx，此處若是logs.51cto.com站點對應的文件未被惡意修改，那估計是nginx緩存的數據被污染。

      51cto做爲業界較著名的技術類站點，尤爲是51cto博客的運營更是細緻入微，這次js掛馬從最先有人發現dachongzi.cn站點抄襲51cto下載頻道開始到如今兩個月沒有解決這個問題，確實不該該。另外全部子站點中均使用llogs.51cto.com站點中得js，尤爲要注意站點的安全，但願51cto可以儘快解決這個問題，廣大網友爲51cto貢獻流量，接下來流量卻爲控制dachongzi.cn站點的黑手貢獻流量，實在不該該。