搜索

[已解决] 记一次海洋cms 被挂码,移动端第一次点击跳转

[复制链接]
xixifengge2 发表于 2018-10-15 11:07:21 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册加入

x
这次的挂的码还是比较容易发现的,其症状是,其他页均正常,手机端在第一次点击播放按钮会有跳转,m.vip2018.live,跳的是个影视网站,再次回来点击是正常的。
基于这样的特点,想到的第一个原因就是设定了cookie,于是去播放页翻coolie,果然有个firstView的cookie名称,然后播放页有个2.js,预览是经过混淆的代码,一般看不出来什么,在代码里有判断coolie的代码和判断客户端的代码片段,所以这个是挂马的js文件无疑了,
QQ截图20181015104839.jpg

然后点开了查看,文件源是vip2018.live下的,然后用全站搜索vip2018关键词,最后在play.js最后面下有,再解密一下,确实是挂马代码了,删除此段!
QQ截图20181015105251.jpg

总结一下

这个问题好像打建站开始就有,所以play.js文件就被污染了,这种被挂马了还不好发现,因为只是开始点击的第一次,之前我一直以为是我本地的运营商的问题(因为很多地方运营会做dns劫持插广告,尤其是比较便宜的运营商)。

为了不被发现,挂马的人现在比较多的就是加密js,这次还算好的,要是vip2008等关键词他也编码就会加大难度,还有就是主要文件源码经过混淆(第一张图里的),即使能看到源码,也看不懂的,这次是有检测cookie和判断客户端代码片段才顺藤摸瓜。

评分

参与人数 1金币 +66 收起 理由
admin + 66 很给力!

查看全部评分

zohov 发表于 2018-10-17 09:47:30 | 显示全部楼层
学习了,感谢!
回复

使用道具 举报

ml440620 发表于 2018-10-20 20:26:04 | 显示全部楼层
很给力,支持支持
回复

使用道具 举报

小黑屋|海洋CMS

GMT+8, 2019-1-20 22:18 , Processed in 0.133597 second(s), 26 queries .

Powered by SeaCMS!

© 2015-2018 seacms.net.

快速回复 返回顶部 返回列表