加密Cloudfront脚本被注入到我们的站点并导致日志中的js错误
加密Cloudfront脚本被注入到我们的站点并导致日志中的js错误
提问于 2014-07-23 15:25:05
一个javascript错误开始出现在我们的日志中,并在短时间内爆炸成数万个错误--可能是我们的2-3个错误--然后消失了。错误的原始信息被追溯到这个神秘的javascript文件:https://d1ui18tz1fx59z.cloudfront.net/js/all/pd2.js?v=17。昨天又出现了一个类似的错误,持续了2-3个小时,相同的文件,但是有一个新的版本参数:https://d1ui18tz1fx59z.cloudfront.net/js/all/pd2.js?v=18。
有人知道这个文件是什么或者怎么破解它吗?是否可能是XSS攻击?它如何在js堆栈中抛出错误?
回答 1
Stack Overflow用户
回答已采纳
发布于 2014-07-26 10:22:46
我刚在我管理的网站上看到了这个。
脚本是经过编码的,但是很容易找到它扩展到的内容:
$ curl https://d1ui18tz1fx59z.cloudfront.net/js/all/pd2.js?v=18 > raw.js
$ sed -i 's/eval/console.log/' raw.js
$ node raw.js
[lots of output]然后,我将输出输入到http://jsbeautifier.org/中,并得到https://gist.github.com/jonleighton/562da353853cd7f2e701。
它看起来像某种显示广告的脚本。我的猜测是,在受感染的计算机上浏览网站的用户会将此脚本注入到他们查看的页面中。但我真的不知道,在扩展的脚本中也没有多少线索。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/24914616
复制相关文章
相似问题
腾讯云开发者
