Drupal 网站收到 url 请求嵌入可疑代码,推测有黑客攻击企图
Drupal site received url request embedding suspicious codes presuming attempt of hacking
我发现 url 请求对我的一个 Drupal 站点包含可疑代码。有人会解释这段代码的深度并建议采取任何预防措施吗?代码:
function (){try{var _0x5757=["/x6C/x65/x6E/x67/x74/x68","/x72/x61/x6E/x64/x6F/x6D","/x66/x6C/x6F/x6F/x72"],_0xa438x1=this[_0x5757[0]],_0xa438x2,_0xa438x3;if(_0xa438x1==0){return};while(--_0xa438x1){_0xa438x2=Math[_0x5757[2]](Math[_0x5757[1]]()*(_0xa438x1 1));_0xa438x3=this[_0xa438x1];this[_0xa438x1]=this[_0xa438x2];this[_0xa438x2]=_0xa438x3;};}catch(e){}finally{return this}}
网站返回页面未找到错误,我没有发现任何问题。
运行 此代码通过美化器,您将收到:
function () {
try {
var _0x5757 = ["/x6C/x65/x6E/x67/x74/x68", "/x72/x61/x6E/x64/x6F/x6D", "/x66/x6C/x6F/x6F/x72"],
_0xa438x1 = this[_0x5757[0]],
_0xa438x2, _0xa438x3;
if (_0xa438x1 == 0) {
return
};
while (--_0xa438x1) {
_0xa438x2 = Math[_0x5757[2]](Math[_0x5757[1]]() * (_0xa438x1 1));
_0xa438x3 = this[_0xa438x1];
this[_0xa438x1] = this[_0xa438x2];
this[_0xa438x2] = _0xa438x3;
};
} catch (e) {} finally {
return this
}
}
首先,让我们重命名一些变量并解密第三行中的字符串数组。我已将 _0x5757 重命名为 arr 并转义了数组中的十六进制字符。那给你:
var arr = ["length", "random", "floor"],
所以这里我们有一个将很快使用的函数列表。替换中的字符串并重命名变量,您将收到:
function () {
try {
var arr = ["length", "random", "floor"],
length_func = "length",
rand_number, temp;
if (length_func == 0) {
return
};
while (--length_func) {
rand_number = Math["floor"](Math["random"]() * (length_func 1));
temp = this[length_func];
this[length_func] = this[rand_number];
this[rand_number] = temp;
};
} catch (e) {} finally {
return this
}
}
注意生成随机数时脚本中的语法错误。
* (length_func 1)
with length_func = "length" 是无效的 JavaScript 语法,因此代码实际上不起作用。我仍然可以猜测它应该做什么:如果我们通过 Math["floor"] 而不是 Math.floor() 来消除调用函数的混淆,那么重要的行是
while (--length_func) {
rand_number = Math.floor( Math.random() * ( length 1 ));
temp = this.length_func;
this.length_func = this.rand_number;
this.rand_number = temp;
};
它似乎尝试使用 Math.random() 和 Math.floor() 计算一个随机整数,然后交换变量 length_func 和 rand_numerber 的内容,全部包含在while(--length_func) 循环。这里没有任何功能或任何有意义的东西。尝试无限循环挂起浏览器?就目前而言,该代码是非功能性的。它甚至无法生成随机数,因为 Math.floor() 将始终向下舍入输入的浮点数,而 Math.rand() 将生成 0.0 到 1.0 之间的数字,因此几乎总是略低于 1.0,因此 rand_number = 0 大多数时候。 rand() 与 length_func 1 的输出相乘可能应该使数字更大,但语法无效。当我使用浏览器的控制台执行 length 时,它给了我 0,当我尝试执行 length(1),然后 length is not a function,唯一的 length这里的意义是一个字符串长度或数组长度,但它必须明确地是 "someString".length。希望对你有帮助。
我发现 url 请求对我的一个 Drupal 站点包含可疑代码。有人会解释这段代码的深度并建议采取任何预防措施吗?代码:
function (){try{var _0x5757=["/x6C/x65/x6E/x67/x74/x68","/x72/x61/x6E/x64/x6F/x6D","/x66/x6C/x6F/x6F/x72"],_0xa438x1=this[_0x5757[0]],_0xa438x2,_0xa438x3;if(_0xa438x1==0){return};while(--_0xa438x1){_0xa438x2=Math[_0x5757[2]](Math[_0x5757[1]]()*(_0xa438x1 1));_0xa438x3=this[_0xa438x1];this[_0xa438x1]=this[_0xa438x2];this[_0xa438x2]=_0xa438x3;};}catch(e){}finally{return this}}
网站返回页面未找到错误,我没有发现任何问题。
运行 此代码通过美化器,您将收到:
function () {
try {
var _0x5757 = ["/x6C/x65/x6E/x67/x74/x68", "/x72/x61/x6E/x64/x6F/x6D", "/x66/x6C/x6F/x6F/x72"],
_0xa438x1 = this[_0x5757[0]],
_0xa438x2, _0xa438x3;
if (_0xa438x1 == 0) {
return
};
while (--_0xa438x1) {
_0xa438x2 = Math[_0x5757[2]](Math[_0x5757[1]]() * (_0xa438x1 1));
_0xa438x3 = this[_0xa438x1];
this[_0xa438x1] = this[_0xa438x2];
this[_0xa438x2] = _0xa438x3;
};
} catch (e) {} finally {
return this
}
}
首先,让我们重命名一些变量并解密第三行中的字符串数组。我已将 _0x5757 重命名为 arr 并转义了数组中的十六进制字符。那给你:
var arr = ["length", "random", "floor"],
所以这里我们有一个将很快使用的函数列表。替换中的字符串并重命名变量,您将收到:
function () {
try {
var arr = ["length", "random", "floor"],
length_func = "length",
rand_number, temp;
if (length_func == 0) {
return
};
while (--length_func) {
rand_number = Math["floor"](Math["random"]() * (length_func 1));
temp = this[length_func];
this[length_func] = this[rand_number];
this[rand_number] = temp;
};
} catch (e) {} finally {
return this
}
}
注意生成随机数时脚本中的语法错误。
* (length_func 1)
with length_func = "length" 是无效的 JavaScript 语法,因此代码实际上不起作用。我仍然可以猜测它应该做什么:如果我们通过 Math["floor"] 而不是 Math.floor() 来消除调用函数的混淆,那么重要的行是
while (--length_func) {
rand_number = Math.floor( Math.random() * ( length 1 ));
temp = this.length_func;
this.length_func = this.rand_number;
this.rand_number = temp;
};
它似乎尝试使用 Math.random() 和 Math.floor() 计算一个随机整数,然后交换变量 length_func 和 rand_numerber 的内容,全部包含在while(--length_func) 循环。这里没有任何功能或任何有意义的东西。尝试无限循环挂起浏览器?就目前而言,该代码是非功能性的。它甚至无法生成随机数,因为 Math.floor() 将始终向下舍入输入的浮点数,而 Math.rand() 将生成 0.0 到 1.0 之间的数字,因此几乎总是略低于 1.0,因此 rand_number = 0 大多数时候。 rand() 与 length_func 1 的输出相乘可能应该使数字更大,但语法无效。当我使用浏览器的控制台执行 length 时,它给了我 0,当我尝试执行 length(1),然后 length is not a function,唯一的 length这里的意义是一个字符串长度或数组长度,但它必须明确地是 "someString".length。希望对你有帮助。