记一次网站被注入js的经历
我对web了解不是很多,如果有什么写的不对的地方可以指正
起因
今天访问了好久没管的论坛,发现跳转到了一个sq网站。。。
排查经过
然后突然想到了之前被挂马的事件,f12看看
发现加载了一个陌生的jsmarket.js
看发起程序,应该是被注入了
查看了我所有网站的js,发现只有两个网站的js最后一行都被插入了同样的代码,而且更改日期都是11月24日
但是我这情况特殊,12月7日换过一次服务器,被挂马的服务器是之前的服务器,是在12月10日
而这段js是11月24日被插入的,而且两个服务器上都有
这就否定了是之前被挂马插入的js
感觉没什么大问题,想着先把js改回来看看
但是我不会js,不知道该改哪啊(((
于是就想到更新一下程序(论坛用的Flarum,是最新版,但是就想更新一下试试)
还好,更新后最后一行没了
看看其他同日期更改的js,最后面一行也是更新后少了的这一行
所以就可以确定被插入的代码是在js的最后一行,以
(function(_0x516aad,_0x257ccd){var _0x8c8c72=_0x516aad();
开头,特别长的一行(下面放出了文件)
修复
删除那一行之后刷新cdn缓存,就不会加载market.js
了
不过被注入的原因还不清楚,之后观察观察还会不会出现
代码样本
这里放出来我的js被插入的代码样本(未格式化),如果有大佬懂的话可以分析一下,我是不懂js(((
被注入的js.js
欢迎加入腾讯云自媒体分享计划,成功加入计划后两人都分别获得 30/100/180 元云服务器代金券
https://cloud.tencent.com/developer/support-plan?invite_code=1xz7cmoun3r2a
本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。