我正在处理一个被黑的 Joomla 站点,攻击者巧妙地将他的代码隐藏在包含的 javascript 文件中的某个位置。该站点从各地加载了数十个此类文件,并且绝大多数脚本已经打包和混淆,使得逐步调试几乎不可能。此外,我从已经发现的样本中知道,攻击者的 javascript 代码也使用相同的系统打包,并且在视觉上与“合法”代码无法区分。
我知道在执行浏览器端的代码中某处创建了 iframe 并将其附加到 DOM 以引入更严重的漏洞利用代码。但我不知道哪个文件中的哪个代码导致这种情况发生。
有没有办法在浏览器中捕获这个事件并查看正在执行的代码是从哪里加载的?
大概这将在 Chrome 或 Firefox 中。