Javascript 加密的Cloudfront脚本被注入我们的站点,并在日志中导致js错误
一个javascript错误开始出现在我们的日志中,并在短时间内(可能是2-3个小时)爆发成成千上万个错误,然后消失。错误的根源可追溯到这个神秘的javascript文件:。昨天又出现了一个类似的错误,持续了2-3个小时,同一个文件,但有一个新的版本参数:Javascript 加密的Cloudfront脚本被注入我们的站点,并在日志中导致js错误,javascript,encryption,cryptography,xss,Javascript,Encryption,Cryptography,Xss,一个javascript错误开始出现在我们的日志中,并在短时间内(可能是2-3个小时)爆发成成千上万个错误,然后消失。错误的根源可追溯到这个神秘的javascript文件:。昨天又出现了一个类似的错误,持续了2-3个小时,同一个文件,但有一个新的版本参数: 有人知道这个文件是什么或者如何解码吗?是否存在可能的XSS攻击?它是如何在我们的js堆栈中抛出错误的?我刚刚在我管理的一个站点上看到了这一点 脚本是经过编码的,但很容易找到它的扩展: $ curl https://d1ui18tz1fx59z
有人知道这个文件是什么或者如何解码吗?是否存在可能的XSS攻击?它是如何在我们的js堆栈中抛出错误的?我刚刚在我管理的一个站点上看到了这一点 脚本是经过编码的,但很容易找到它的扩展:
$ curl https://d1ui18tz1fx59z.cloudfront.net/js/all/pd2.js?v=18 > raw.js
$ sed -i 's/eval/console.log/' raw.js
$ node raw.js
[lots of output]
然后,我将输出输入并获取
它看起来确实像是某种显示广告的脚本。我猜,一个用户在受感染的计算机上浏览网站时,会将该脚本注入到他们查看的页面中。但我真的不知道,扩展脚本中也没有太多线索。谢谢Jon-非常有趣的是,所有javascript都可以来自该输入文件。我很高兴你能分享我的要点!