记一次海洋cms 被挂码,移动端第一次点击跳转

xixifengge2 9月前 223

这次的挂的码还是比较容易发现的,其症状是,其他页均正常,手机端在第一次点击播放按钮会有跳转,m.vip2018.live,跳的是个影视网站,再次回来点击是正常的。
基于这样的特点,想到的第一个原因就是设定了cookie,于是去播放页翻coolie,果然有个firstView的cookie名称,然后播放页有个2.js,预览是经过混淆的代码,一般看不出来什么,在代码里有判断coolie的代码和判断客户端的代码片段,所以这个是挂马的js文件无疑了,

然后点开了查看,文件源是vip2018.live下的,然后用全站搜索vip2018关键词,最后在play.js最后面下有,再解密一下,确实是挂马代码了,删除此段!

总结一下

这个问题好像打建站开始就有,所以play.js文件就被污染了,这种被挂马了还不好发现,因为只是开始点击的第一次,之前我一直以为是我本地的运营商的问题(因为很多地方运营会做dns劫持插广告,尤其是比较便宜的运营商)。

为了不被发现,挂马的人现在比较多的就是加密js,这次还算好的,要是vip2008等关键词他也编码就会加大难度,还有就是主要文件源码经过混淆(第一张图里的),即使能看到源码,也看不懂的,这次是有检测cookie和判断客户端代码片段才顺藤摸瓜。

最新回复 (2)
  • zohov 9月前
    0 引用 2
    学习了,感谢!
  • ml440620 9月前
    0 引用 3
    很给力,支持支持
返回
发新帖