旅店里的无线网络中的恶意脚本注入
贾斯汀&瓦特（Justin
Watt）在旅店里通过旅店提供的无线服务查看自己的博客网站，他发现有个异常的东西，一个黑颜色的横条出现在了页面的顶部，正常情况是应该没有的。有趣，贾斯汀想可能是最近的Firefox更新改变了CSS的影响渲染效果。
红颜色圈住的是那条奇怪的横条
贾斯汀想这并不是什么大事，除非是网页被黑客篡改了（有人获取了网站主机的帐号，在每个PHP文件里都加入一段base64加密过的代码），于是他立即决定查看一下页面源代码。事实证明，在
《head》标记间出现了一些陌生的CSS：
&style&type="text/css"& &&
&#rxgheader&{&visibility:hidden;&color:#111;&background:#ffffff;&text-align:center;&border-bottom:1px&solidʚ&z-index:10000;&position:fixed;&width:100%;&top:0;&} &&
&#rxgleftbar&{&visibility:hidden;&color:#111;&background:#fff;&border-right:1px&solidʚ&z-index:10000;&position:fixed;&height:100%;&left:0;&} &&
&#rxgrightbar&{&visibility:hidden;&color:#111;&background:#fff;&border-left:1px&solidʚ&z-index:10000;&position:fixed;&height:100%;&rightright:0;&} &&
#rxgfooter&{&visibility:hidden;&color:#111;&background:#ffffff;&text-align:center;&border-top:1px&solidʚ&z-index:10000;&position:fixed;&width:100%;&bottombottom:0;&} &&
#rxgcontent&{&} &&
&/style& &&
和Javascript代码：
&script&language="JavaScript"&type="text/javascript"& &&
function&checkVisible()&{ &&
&&&&var&footer,&header,&leftbar,&rightbar,&content; &&
&&&&if&(document.all)&{ &&
&&&&&&&&footer&=&document.all. &&
&&&&&&&&header&=&document.all. &&
&&&&&&&&leftbar&=&document.all. &&
&&&&&&&&rightbar&=&document.all. &&
&&&&&&&&content&=&document.all. &&
&&&&}&else&if&(document.getElementById)&{ &&
&&&&&&&&footer&=&document.getElementById('rxgfooter'); &&
&&&&&&&&header&=&document.getElementById('rxgheader'); &&
&&&&&&&&leftbar&=&document.getElementById('rxgleftbar'); &&
&&&&&&&&rightbar&=&document.getElementById('rxgrightbar'); &&
&&&&&&&&content&=&document.getElementById('rxgcontent'); &&
&&&&if&(footer)&{ &&
&&&&&&&&if&(footer.offsetWidth&&&600)&{ &&
&&&&&&&&&&&&footer.style.visibility&=&'visible'; &&
&&&&&&&&&&&&content.style.paddingBottom&=&(footer.offsetHeight&+&4)&+&"px"; &&
&&&&&&&&} &&
&&&&if&(header)&{ &&
&&&&&&&&if&(header.offsetWidth&&&600)&{ &&
&&&&&&&&&&&&header.style.visibility&=&'visible'; &&
&&&&&&&&&&&&content.style.paddingTop&=&(header.offsetHeight&+&4)&+&"px"; &&
&&&&&&&&} &&
&&&&if&(leftbar)&{ &&
&&&&&&&&if&(leftbar.offsetHeight&&&400)&{ &&
&&&&&&&&&&&&leftbar.style.visibility&=&'visible'; &&
&&&&&&&&&&&&content.style.paddingLeft&=&(leftbar.offsetWidth&+&4)&+&"px"; &&
&&&&&&&&} &&
&&&&if&(rightbar)&{ &&
&&&&&&&&if&(rightbar.offsetHeight&&&400)&{ &&
&&&&&&&&&&&&rightbar.style.visibility&=&'visible'; &&
&&&&&&&&&&&&content.style.paddingRight&=&(rightbar.offsetWidth&+&4)&+&"px"; &&
&&&&&&&&} &&
&/script&&&
并在标记后有下面的Javascript代码：
&div&id="rxgheader"& &&
&script&type='text/javascript'& &&
&&&&var&advnIsAdProviders&=& &&
&&&&var&advnIsPersistCookie&=& &&
&&&&var&mCustomerId&=&44; &&
&&&&var&advnIsHideImmediately&=& &&
&&&&var&mDelayLoad&=&1000; &&
&&&&var&advnAdRotationDelay&=&30000; &&
&&&&var&jsUrl&=&'http://adsmws.cloudapp.net/user/advnads20.js'; &&
&&&&function&addScript(jsUrl)&{ &&
&&&&&&&&var&AdvnScript&=&document.createElement('script'); &&
&&&&&&&&AdvnScript.setAttribute('src',&jsUrl); &&
&&&&&&&&AdvnScript.setAttribute('type',&'text/javascript'); &&
&&&&&&&&document.body.appendChild(AdvnScript); &&
&&&&setTimeout('addScript(jsUrl)',&50); &&
&/script& &&
&div&id&=&"rxgcontent"& &&
&script&language&=&"JavaScript"&type&=&"text/javascript"& &&
&&&&checkVisible(); &&
&/script& &&
给不懂编程的读者提示一下，上面代码中最需要注意的是CSS里有"rxg"前缀的语句，还有这个指向外部的非常可以的Javasript文件：http://adsmws.cloudapp.net/user/advnads20.js。他怀疑"RXG"应该是某种病毒的名称，但通过谷歌搜索后，一无所获。
他立即用sshed登陆到博客服务器上用 svn diff 检查一些重要的PHP文件。没有任何改动的迹象。这就奇怪了，源文件是没有问题的。他于是进入了
Stephanie的博客，发现他的博客也存在同样的问题。但他们两个的博客是在同一帐户下的。他又检查了
Andre的博客&&这个博客是放在TypePad服务器上的，同样，没有幸免。他想到，应该是在他的计算机跟网络连接的过程中，有人在网络传输的每个页面里注入了JavaScript。
他研究了一下那个advnads20.js，发现这个脚本功能只是在页面上插入一些广告。
难道旅店的wifi网络被人黑了？或者是旅店的网络提供商特意为之？这个问题贾斯汀没有想明白，于是写了一篇博客描述此事情。
很快，贾斯汀就在他的这篇博客的评论中找到了答案，有人读者告诉他，"RXG"是Revenue eXtraction Gateway的缩写，这是一种 RG
Nets公司生产的无线热点网关产品。
原来如此，这家旅店的无线网络通过这种路由器给每个旅客所浏览的网页中都嵌入了这种JavaScript。而提供这家旅店网络服务的公司叫做Hotel
Internet Services，很有可能，贾斯汀想，这家旅店也未必知道发生了什么时，他只是觉得不平，一晚368美元的房价，还受到这种待遇。
在这种路由器的厂商的官方主页上有个演示视频：
视频中催人入睡的机器人般的声音说的是：
这个视频演示的是RG Nets公司的Revenue eXtraction网关产品的HTML网页加载重写功能。用户在浏览网页时使用浏览器通过Revenue
eXtraction网关连接到互联网。用户使用的是一个干净的IE7，没有装任何插件或其它软件。所有的网页重写都是通过RXG网关即时完成的。RXG网关被配置成重写所有通过此网关的web网页，在每个页面上都嵌入一个宝马S1000RR的广告条。这个宝马S1000RR广告条可以放置到页面的顶部，底部，左边，右边。除此之外，多个广告还可以组合到一起轮换着出现，当然，这些广告可以链向任何一个你想要的网站。就像你看到的，所有的网页上都嵌入了广告，保证了这些广告的冲击力。RG
Nets公司的RXG产品的网页加载重写特征是一个强大的工具，能够广泛的运用到互联网市场推广的各种应用中。
贾斯汀的这篇博格在网上受到了热烈的讨论，这家旅馆的负责人也注意到了，他向贾斯汀来信表示，他们已经就此事做了调查，并向他们的网络服务商提出了抗议，网络服务商同意不再向这家旅店的网络服务中注入广告。但旅店负责人也说明，这种广告行为在所有的网络服务商中相当的普遍。
本人最近宽带到期，又重新申请了一个长城宽带，没想到，上网时，不论访问什么网站，右下角经常会蹦出一个广告，起初以为中了什么病毒软件，后来发现，原来是宽带服务商在作恶，它们把你的访问的网站用一个Iframe包起来，在外层的框架内放置它们的广告，这种事情真让人恶心。在网上查了一下，发现很多人有相同的遭遇，有人建议把dns换了，或把宽带商发布广告的ip给封掉。这些方法总归治标不治本。最好的方法是弃用这家公司的宽带。可是再一查，发现其它的宽带服务商也干这种勾当。真让老百姓没法活了。
文章来源：
看过本文的人还看过
最新图文推荐
大家感兴趣的内容
&&<a rel="nofollow" class="red" href="" target="_blank" color="red新版网站排行榜
===全新上线===
网友热评的文章电脑上那种网站，会不会中毒？有没有中过毒的？_百度知道
电脑上那种网站，会不会中毒？有没有中过毒的？
挂马建议平启防火墙试试腾讯电脑管家已经与百度安全搜索联盟等打击恶意网址面展广泛合作网民网安全提供基于搜索入口、电脑桌面双重防护同电脑管家反钓鱼联盟核员贡献者并与银联、淘宝等反钓鱼领域建立深度合作推安全放平台与行业共享腾讯电脑管家安全运营面所取推互联网安全行业归安全
来自团队：
其他类似问题
为您推荐：
其他4条回答
凡健康网站能病毒
小心毒火攻心
不会z&#8198;du
会的，朋友，不要看
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁mac上网时经常跳出网页，不知道是不是有恶意软件？_百度知道
mac上网时经常跳出网页，不知道是不是有恶意软件？
前都没种事直thepiratebay.org/软件网页跳网页知道……重新机没用百度都跳网页同面给截图我真快给烦死更担病毒啊求快点帮帮我吧
您恶意软件盗取您用户隐私、消耗您手机流量、暗扣您手机费用发现建议您尽快处理您使用腾讯手机管家进行清除管家帮您检测软件恶意行并引导您进行性阻止或卸载操作式：首先建议您手机获取ROOT权限root实现保留软件功能阻止恶意行目；同确保手机能够彻底卸载恶意软件1、打腾讯手机管家进入【安全防护】页面点击进入【软件权限管理】&#8205;2、查看软件恶意行进入即按照【权限】或【软件】两种式查看各软件否存安全隐患图：3、处理恶意软件查看哪些软件恶意行进入详情页面即进行处理：点击【获取联系】即查看前哪些软件使用您联系信息选择禁止即性阻止恶意行软件使用；想保留该软件进入系统或管家软件管理进行删除：同按照【通记录】、【手机位置】、【短信】等类查看相应使用该权限软件并进行处理：另外直接点击软件面信任按钮该软件添加信任管家监控该软件切操作：权限管理右角点击齿轮即启/关闭权限管理总关并查看监控志：何处理恶意软件操作管家除提供软件权限管理功能外提供病毒查杀、骚扰拦截、手机防盗、隐私保护等其安全防护功能并主满足用户流量监控、空间清理、体检加速、软件搬家等高端智能化手机管理需求腾讯手机管家诚邀您体验
我的是Mac，是电脑……
玩的酷 靠的住
主营：手机安全与管理软件
IE浏览器劫持 BHO加载恶意程序或监视注册表操作程 使用非强黄山IE修复专家能够解决您问题 黄山IE修复专家载：
用：IE恶意弹窗口输入该网站（知道网址要输太）指：现修复按钮 （1）修复建议启安全模式按住始间（2）运行IE修复专家黄山输入您弹式垃圾点现修复按钮 您使用超级兔清理IE插件彻底修复IE浏览器行 产软件/优化设置超级兔魔设置v7.92式版软件<img class="word-replace" src="/api/getdecpic?picenc=0af.26 MB 软件类别运行环境Win2003WinXp WIN2000NTWinMeWin9x 许免费语言简体整理间○十九<img class="word-replace" src="/api/getdecpic?picenc=0af秒载址： &
我的电脑是Mac啊……
其他类似问题
为您推荐：
其他1条回答
貌似网页默认首页跳修改建议重新清理浏览历史等缓存文件实行换内浏览器便我现用QQ浏览器for MAC比较符合内网络环境集各银行与支付宝等安全插件省能付款烦恼并且支持内置旋风组件支持BT/eMule/旋风协议管电影都能存支持断点续传整体使用体验错
恶意软件的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁怎么检查自己的宽带是否会被人恶意连接共享？_百度知道
怎么检查自己的宽带是否会被人恶意连接共享？
登入&192.168.1.1点开&DHCP服务器-客户端列表&&&查看有谁连了你的宽带
其他类似问题
为您推荐：
提问者采纳
没用路由器 基本要担问题 用路由器检查根线使用线路由器恩相容易现问题看路由器配置单客户端列表清晰明发现真蹭网 改密码
或者写规则
MAC址少才能用网答完毕
其他2条回答
台机用猫拔号吧电信用户呢电信用户家电号宽代号绑定物理端口绑定没办占网速 线路由换WAP加密密码搞位数进路由看客户端能看没连路由
192.168.1.1进入路由器设置 账号密码默认是admin，进入mac地址，有几个就是几台共享
宽带的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁