我对web了解不是很多,如果有什么写的不对的地方可以指正

起因

今天访问了好久没管的论坛,发现跳转到了一个sq网站。。。

如图

排查经过

然后突然想到了之前被挂马的事件Event,f12看看
发现加载了一个陌生的jsmarket.js

market.js

看发起程序,应该是被注入了

发起程序
代码

查看了我所有网站的js,发现只有两个网站的js最后一行都被插入了同样的代码,而且更改日期都是11月24日
但是我这情况特殊,12月7日换过一次服务Services器,被挂马的服务器是之前的服务器,是在12月10日
而这段js是11月24日被插入的,而且两个服务器上都有
这就否定了是之前被挂马插入的js

感觉没什么大问题,想着先把js改回来看看
但是我不会js,不知道该改哪啊(((

于是就想到更新一下程序(论坛用的Flarum,是最新版,但是就想更新一下试试)
还好,更新后最后一行没了
看看其他同日期更改的js,最后面一行也是更新后少了的这一行
所以就可以确定被插入的代码是在js的最后一行,以

(function(_0x516aad,_0x257ccd){var _0x8c8c72=_0x516aad();

开头,特别长的一行(下面放出了文件)

修复

删除那一行之后刷新cdn缓存,就不会加载market.js

不过被注入的原因还不清楚,之后观察观察还会不会出现

代码样本

这里放出来我的js被插入的代码样本(未格式化),如果有大佬懂的话可以分析一下,我是不懂js(((
被注入的js.js


欢迎加入腾讯云自媒体分享计划,成功加入计划后两人都分别获得 30/100/180 元云服务器代金券
https://cloud.tencent.com/developer/support-plan?invite_code=1xz7cmoun3r2a

文章目录