javascript错误开始在我们的日志中弹出,并在短时间内爆发成数万个错误 - 可能是2-3个错误 - 然后消失了。错误的原始可追溯到这个神秘的javascript文件:https://d1ui18tz1fx59z.cloudfront.net/js/all/pd2.js?v=17。昨天再次出现类似的错误,持续2-3个小时,相同的文件,但新版本参数:https://d1ui18tz1fx59z.cloudfront.net/js/all/pd2.js?v=18。
任何人都知道这个文件是什么或如何解码它?是可能的XSS攻击吗?它是如何在我们的js堆栈中抛出错误的?
答案 0 :(得分:2)
我刚刚在我管理的网站上看到过这个。
脚本已编码,但很容易找到它扩展到的内容:
$ curl https://d1ui18tz1fx59z.cloudfront.net/js/all/pd2.js?v=18 > raw.js
$ sed -i 's/eval/console.log/' raw.js
$ node raw.js
[lots of output]
然后我将输出结果输入http://jsbeautifier.org/并得到https://gist.github.com/jonleighton/562da353853cd7f2e701。
它看起来像某种显示广告的脚本。我的猜测是,浏览受感染计算机网站的用户会将此脚本注入他们查看的页面。但我真的不知道,在扩展的剧本中没有很多线索。