我的Joomla!网站一再被黑客入侵.不知何故,有人设法将以下垃圾注入关键的php脚本,但我的意思是不要谈论配置Joomla.该网站访问量不大(有时我担心我可能是该网站的唯一访问者...)而且我并不关心网站是否备份和运行.我最终会处理这件事.
我的问题是,这种垃圾是如何运作的?我看着它,我只是看不出它如何造成任何伤害?它的作用是尝试下载一个名为ChangeLog.pdf的PDF文件,该文件感染了一个木马,打开后会冻结你的Acrobat并对你的机器造成严重破坏.它怎么做,我不知道,我不在乎.但是下面的脚本如何调用下载?
ESET已将此代码检测为JS/TrojanDownloader.Agent.NRO木马
请注意replace巨大凌乱的字符串之后的调用:.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '').
它删除了大多数特殊字符,将其转换为普通URL:
evil://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/softonic.com/softonic.com/google.com/livejasmin.com/videosz.com/
(I手动改变http:到evil:)
请注意,正则表达式可以简化为 .replace(/[#$@^&()!]/ig, '')
如果你查看脚本,你会发现它是一个非常简单的脚本,它注入一个包含/index.php?ys来自同一域的路径的隐藏IFRAME .
我在Fiddler中请求了这个页面,它没有任何内容.
这些答案可能有助于您了解恶意JavaScript代码的性质,但您应该寻找的是一种方法来关闭Joomla引擎中的漏洞.预先打包的框架容易出现漏洞,无论是有意还是无意,特别是当您考虑到它们被设计为在unix,mac和windows环境中工作时.
我的工作要求我在客户和我自己的许多类型的服务器和系统上运行许多域,应用程序和框架.随着时间的推移,我看到越来越多的机器人爬行这些系统,寻找这些框架创建的后门入口的已知漏洞/入口.当我使用任何类型的框架时都很好,我很少这样做,我确保重命名大部分,如果不是整个文件结构,以摆脱那些讨厌的漏洞/后门.至少你可以重命名会抛弃大多数机器人的目录,但我的方法是完全消除那些提供有关框架性质的线索的引用,其中包括重命名整个文件结构而不仅仅是目录.始终保留相对于旧命名约定的新命名约定的映射,以便快速添加插件到基础框架.一旦掌握了这一点,就可以以编程方式重命名整个框架文件结构以获得更快的结果,这在处理需要能够使用插件等更新其框架的客户端时尤其有用.
它只是在脚本URL上执行正则表达式替换为您提供
注意:请勿遵循以下链接(插入**以阻止复制粘贴)
http**://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/softonic.com/softonic.com/google.com/livejasmin.com/videosz.com/
作为 src
它使用replace函数来代替使用正则表达式的垃圾字符,代码没有错:
........replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')
它的加载脚本来自
h..p://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/softonic.com/softonic.com/google.com/livejasmin.com/videosz.com/
并且该脚本iframe从可见性加载hidden
h..p://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/index.php?ys
京公网安备 11010802040832号 | 京ICP备19059560号-6 