论坛 › VPS综合讨论 › 被挂马了，发出来大佬们分析分析

nk123 发表于 2025-3-4 22:11:04

被挂马了，发出来大佬们分析分析

首页底部被挂js木马<br />
<br />
木马连接：https://cdn.jsdelivr.vip/jquery.min-3.6.8.js<br />
<br />

<ignore_js_op>

<img src="https://hostloc.com/static/image/filetype/zip.gif" border="0" class="vm" alt="" />
<span style="white-space: nowrap" id="attach_173022" onmouseover="showMenu({'ctrlid':this.id,'pos':'12'})">

<a href="https://hostloc.com/forum.php?mod=attachment&aid=MTczMDIyfDQyZDdlN2U4fDE3NDEyMjI3NzN8MHwxMzkzNDAw" target="_blank">jquery_decoded.zip</a>

<em class="xg1">(38.17 KB, 下载次数: 24)</em>
</span>
<div class="tip tip_4" id="attach_173022_menu" style="position: absolute; display: none" disautofocus="true">
<div class="tip_c xs0">
<div class="y"><span title="2025-3-4 19:23">前天19:23</span> 上传</div>
点击文件名下载附件

</div>
<div class="tip_horn"></div>
</div>

</ignore_js_op>

88232128 发表于 2025-3-5 14:44:12

看这域名怎么这么熟悉，你是不是用了Goedge投毒版。

nk123 发表于 2025-3-5 17:24:36

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16263949&ptid=1393400" target="_blank"><font color="#999999">88232128 发表于 2025-3-5 14:44</font></a></font><br />
看这域名怎么这么熟悉，你是不是用了Goedge投毒版。</blockquote></div><br />
Goedge投毒版也是这个人的木马，不过我没有使用，我使用的cf

lmy56131 发表于 2025-3-5 14:44:00

是苹果cms吗

羊村你喜哥 发表于 2025-3-5 17:32:48

<i class="pstatus"> 本帖最后由 羊村你喜哥 于 2025-3-5 17:57 编辑 </i><br />
<br />
判断一些设备然后跳转https://weewqrfv.com/redirect?from=idjc<br />
然后gpt总结了下<br />
动态加载外部脚本： 通过 loadJS 动态添加 script&gt;标签，并在脚本加载完成后执行回调。<br />
设备判断： 使用 isPc 判断当前用户是否为 PC 端，从而区分 PC 和移动设备。<br />
Cookie 管理： 包含设置、获取、删除 cookie 的工具函数，用于记录用户访问次数以及是否屏蔽重定向。<br />
时区判断： 获取用户时区并与允许列表对比，用于确定是否满足重定向条件。<br />
重定向逻辑： 针对移动设备，根据当前主机、来源、时间、随机概率和时区等条件，决定是否通过加载额外脚本来重定向用户到特定 URL，同时通过 cookie 控制同一用户短时间内不重复重定向。<br />
代码<br />
https://file.bachang.org/#/?code=89568

Cuchemist 发表于 2025-3-5 17:55:19

你怎么发现的?复盘一下?

zsj1259 发表于 2025-3-5 18:50:25

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16264517&ptid=1393400" target="_blank"><font color="#999999">Cuchemist 发表于 2025-3-5 18:50</font></a></font><br />
你怎么发现的?复盘一下?</blockquote></div><br />
估计打开控制台，看到network 有请求陌生的域名就发现了

nk123 发表于 2025-3-5 19:14:06

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16264410&ptid=1393400" target="_blank"><font color="#999999">羊村你喜哥 发表于 2025-3-5 17:55</font></a></font><br />
判断一些设备然后跳转https://weewqrfv.com/redirect?from=idjc<br />
然后gpt总结了下<br />
动态加载外部脚本： 通过...</blockquote></div><br />
点击下载是空白，无法获取下载<br />
他的代码可以学习借鉴下，蛮有技术的

明日之子OxO 发表于 2025-3-5 18:50:00

这域名伪装的真好，不注意真看不出

nk123 发表于 2025-3-5 19:34:18

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16264372&ptid=1393400" target="_blank"><font color="#999999">lmy56131 发表于 2025-3-5 17:32</font></a></font><br />
是苹果cms吗</blockquote></div><br />
有什么说处吗？

查看完整版本: 被挂马了，发出来大佬们分析分析