在我的footer.php中找到未知的带有html链接的JavaScript

时间:2013-07-31 05:09:47

标签: javascript apache security

你好可以告诉我这段代码做了什么,因为这是在我网站的页脚中找到的东西,实际上与黑帽SEO有关。下面是如何找到它时的样子。如果你能告诉我这是怎么进入我的footer.php的话,那就太好了。

<div id="awesomelinks">
<a href="http://www.361studios.net" style="margin-left:-98901px;" title="Website         Design">Website Design</a>,
<a href="http://www.361studios.net" style="margin-left:-98902px;" title="Website Creation">Website Creation</a>,
<a href="http://www.uslbarcodefy.org" style="margin-left:-96832px;" title="Sports Skills">Sports Skills</a>,
<a href="http://www.uslbarcodefy.org" style="margin-left:-96833px;" title="Sports Technology">Sports Technology</a>,
<a href="http://www.pinkeyegraphics.com" style="margin-left:-80381px;" title="Graphic Design">Graphic Design</a>,
<a href="http://www.pinkeyegraphics.com" style="margin-left:-80382px;" title="Graphic Organizers">Graphic Organizers</a>,
<a href="http://www.ecoeasycontest.com" style="margin-left:-90012px;" title="Wedding Dresses">Wedding Dresses</a>,
<a href="http://www.ecoeasycontest.com" style="margin-left:-90013px;" title="Evening Dresses">Evening Dresses</a>,
<a href="http://www.replica.im" style="margin-left:-96831px;" title="Replica Handbags">Replica Handbags</a>,
<a href="http://www.replica.im" style="margin-left:-96832px;" title="Replica Watches">Replica Watches</a>,
<a href="http://www.wilmstumorgroup.com" style="margin-left:-91131px;" title="WoW Gold">WoW Gold</a>,<a href="http://www.wilmstumorgroup.com" style="margin-left:-91132px;" title="Cheap WoW Gold">Cheap WoW Gold</a>,
<a href="http://www.wilmstumorgroup.com" style="margin-left:-91133px;" title="Buy WoW Gold">Buy WoW Gold</a>,
<a href="http://www.near-field-communications.org" style="margin-left:-88931px;" title="Iphone Apps">Iphone Apps</a>,
<a href="http://www.near-field-communications.org" style="margin-left:-88932px;" title="Android Apps">Android Apps</a>,
<a href="http://www.bluelikejazzthemovie.net" style="margin-left:-97511px;" title="Movie Reviews">Movie Reviews</a>,
<a href="http://www.bluelikejazzthemovie.net" style="margin-left:-97512px;" title="Movie Ratings">Movie Ratings</a>,
<a href="http://www.russianfashionweek.info" style="margin-left:-87722px;" title="Fashion Shoes">Fashion Shoes</a>,
<a href="http://www.russianfashionweek.info" style="margin-left:-87723px;" title="Fashion Bags">Fashion Bags</a>,
<a href="http://www.urban-management.info" style="margin-left:-93871px;" title="Urban Clothing">Urban Clothing</a>,
<a href="http://www.urban-management.info" style="margin-left:-93872px;" title="Urban Art">Urban Art</a>,
<a href="http://www.tacomalutherannw.com" style="margin-left:-89007px;" title="Cooking Guides">Cooking Guides</a>,
<a href="http://www.tacomalutherannw.com" style="margin-left:-89008px;" title="Cooking Tips">Cooking Tips</a>,
<a href="http://www.noshfordosh.com" style="margin-left:-80831px;" title="Luxury Shopping Guides">Luxury Shopping Guides</a>,
<a href="http://www.noshfordosh.com" style="margin-left:-80832px;" title="Luxury Products">Luxury Products</a>,
<a href="http://www.turnerfreemansa.com" style="margin-left:-89512px;" title="CJC 1295">CJC 1295</a>,
<a href="http://www.turnerfreemansa.com" style="margin-left:-89513px;" title="CJC 1295 Reviews">CJC 1295 Reviews</a>

<script>
eval(function(p,a,c,k,e,d){
    e=function(c){
        return(c<a?"":e(parseInt(c/a)))
        +
        ((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))
    };
    if(!''.replace(/^/,String)){
        while(c--)d[e(c)]=k[c]||e(c);
        k=[function(e){return d[e]}];
        e=function(){return'\\w+'};
        c=1;
    };
    while(c--)if(k[c])
    p = p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);
    return p;
}('2.1(\'0\').5.4="3";',6,6,'bestlinks|getElementById|document|none|display|style'.split('|'),0,{}))

2 个答案:

答案 0 :(得分:0)

可能的可能性:

  1. 你正在托管一些糟糕的网站空间提供商,这些提供商会破坏你的内容(在这种情况下,运行);

  2. 更有可能:你被黑了。

    3. 2a上。要么是运行带有严重安全漏洞的应用程序,要么

    2B。更有可能的是:您用于管理站点的帐户(通常通过FTP)已被泄露(通常通过访问该站点的客户端计算机)。使所有客户端计算机都能够进行多次AV扫描,并在任何检测到任何内容的地方重新安装操作系统(AV在移除时非常糟糕;从轨道上对其进行核对,这是唯一可以确定的方法)。更改密码,确保不使用FTP(改为使用SFTP),删除服务器上的所有代码并替换为已知正确的副本。如果攻击来自更高级别或升级,请通知您的主机。如果它是你自己的机器,也可以考虑从轨道上进行核对。

答案 1 :(得分:0)

这个js做了什么?

好吧,如果您将eval更改为alertconsole.log,您可以看到它将所有废话转换为:

document.getElementById('bestlinks').style.display="none";

实际上,它正在做的就是隐藏bestlinks元素。

有什么意义?

有很多种可能性。但请查看bestlinks元素。在您的问题中,您有一个ID awesomelinks。也许这是注入此内容的恶意用户所犯的错误,除非有另一个带有bestlinks id的元素。

正如您所指出的,这显然是黑帽搜索引擎优化,看起来他们正在尝试使用您的网站创建一个Link Farm作为节点,但是通过javascript将其隐藏起来。它仍会出现在搜索引擎中,但您和您的用户将更加明智。

它是怎么发生的?

没有人可以从StackOverflow真正告诉你。可能存在服务器日志,表明您的服务器已被盗用,但可以清除这些日志。您最好的办法是将主机视为完全受损的机器,并相应地进行操作。我的猜测是,它是利用服务器中现有漏洞/漏洞并自动修改文件的自动攻击。您需要处理症状(已修改的页面)并确保您可以免受未来的攻击。如果您在设置安全服务器方面需要帮助,则可以尝试在ServerFaultSecurity.SE上阅读/提问,因为这是偏离主题的。

相关问题
最新问题