利用浏览器开发人员工具查找网页恶意代码
自从被朋友提醒告知打开我龙三公子博客网站后约十几秒有游戏广告弹出覆盖原页面时,就一直在寻找,可以看前面的文章《关于我博客首页的弹出广告问题》。一来时间不充足,总是找找没找到就放弃了,二来也怪自己没有仔细的原因吧,一连几天都没找到,问题没解决,搞的茶饭不思,睡觉都不香啊。
前两天实在被这个问题烦透了,于是就抽了大量时间来找,决定要揪出这个罪魁祸首来。这次非常仔细,终于找到了蛛丝马迹,恶意代码的确存在,而且是放在首页的zblog原程序自带的js中,看来的确是我太粗心了。之前查过首页的一些JS,但是没找到。
本来前天中午时分就找出来了,后来又观察,又叫朋友多方测试,最终确定了安全,而且之前安全联盟的警告网页也在安全之后申诉解封了,所以今天抽空来写下我的排查方法。
处理过程中,我走了很多弯路,因为我是把整站作了备份当下来在本地检查的,所有的相关scrIPt代码段几乎一一排查,最终未能找到。而且还怀疑到了空间运营商头上。当然了空间说不会作这种事,只告诉我要多检查模板,注意安全。后来我尝试用免费试用空间作排查,问题依然存在。我的确是冤枉人家了。多次无果,我急破了头,最后互推联盟群里的朋友张戈叫我用浏览器开发工具排查。
说实话,从来没用过这个工具,打开看了下不是很懂,于是就网上搜索,学习了下。大前天晚上吧一直学习折腾到夜里一两点。原来一般的开发工具都可以抓包的,而且推荐用chromium核心浏览器的抓包工具,刚好360的就可以,于是我打开开发工具进行抓包再次找寻恶意代码。
先是用浏览器打开我网站首页,然后在工具菜单找到开发人员工具,再次刷新网页,在下面的来源包列表中清晰的列出了页面所加载各域名的来源数据:
正如上图所示,我在sources标签中查看到了一条异常,这个域名我博客应该从来就没主动加过。通过这条从这个域名中有下载到的‘s.asp?jiangxi|nanchang’也再次证明了我的想法,这应该就是恶意代码的存在。因为在排查中,我注意到过,这个弹窗广告凡是南昌的IP打开都不会弹出,估计这也就是为什么我在南昌从来没有发现有过广告页面弹出的原因,叫朋友们测试都不行,也难怪只有外地朋友们才会发现(这里不得不再次感谢张戈博客)。而事后也说明放代码的人够聪明,让你不知不觉。
继续打开network标签,这里就是所有实时下载的网络数据,仔细的往下翻看,终于在这里看到了恶意代码的藏匿文件,即藏在了common.js文件中:
在下载下来的网站文件中,我再次找到了这个common.js文件,这文件是zblog程序自带的文件啊,为了证实,我还找到了源安装包核对。之前我也检查过这个文件,代码六七百行,没发现什么。不过,最终确定是这个文件里被插入了恶意代码:
上图是我用代码比对工具查出来的(两个文件时间不一样)。真恨为什么当时没有想到用这个工具检查。不过,也说明了我的大意,认为程序自带的文件不可能有问题,因为当时我还查看了所有文件时间,尤其对近期有修改时间的作了排查。而这个文件最后修改时间是2012年8月3日,这时间当时刚好我博客才建立几天,天想到会出在它身上。这也证明恶意代码被插入已经足足一年半之久了!不过,也不尽然,也许人家是改了文件时间蒙混过关的呢?为什么我一直没发现?这么久了,就算他屏蔽了南昌IP,那外地博友访问我博客应该也早发现了,不可能都不说吧。也就是说也有可能是近期才放上的,然后修改了时间。如果这么说,那又说明一个问题:要么我FTP密码被泄露,要么网站管理员密码被泄露。因为不可能是我网站有漏洞,不知检测多少回了,都是100分安全的。
有疑问就赶紧将这个文件用原来官方的替换了。然后再多方请朋友测试,分别打开本站和临时空间测试站,果然测试站仍在弹。一颗悬起的心总算放下来了,可以安心了。
处理完成之后心情并不平静,因为我这个菜鸟上面的几个疑问还很严重,必须防范于未然。于是我又作了一些措施:修改了FTP密码、修改了管理员密码、隐藏了管理入口等。因为我不知道黑客到底是怎么入侵的,也许“亡羊补牢,为时不晚”!
这次事件让我再一次品味到了作为一个草根站长在创业路上的艰辛。作为一个名不见经传的小小站长维护一个小小的私人博客,又没什么人气没什么排名,既要写代码又要杀木马,既要修理图片又要编辑文字,既要做推广又要做销售。。。。。。而且还要时时提防。当你倾注所有的精力像呵护小baby一样照顾着网站慢慢长大时还要防止各种黑手窃取劳动成果(也许这也是我当时为什么取名域名mybabycastle的原因了,意为我的宝贝城堡,修建城堡保卫照顾我的baby)。
所以安全很重要,心态也很重要。为了心中的梦,小小站长们应该坚持,要永不退缩,不知疲惫的走在这个前行的大路上。因为有你,我们一起在奋斗,在努力,你不孤单!
分类:电脑网络| 发布:龙三公子| 查看:3248 | 发表时间:2014-05-23
原创文章如转载,请注明:转载自龙三公子博客 https://www.mybabycastle.com/
本文链接:https://www.mybabycastle.com/post/532.html
梦轩丽人 2017-03-12 11:25:50 回复
幸好我目前的网站运行良好,我隔段时间就用360检测!评论者 2017-03-12 11:25:50 回复
更改修改时间,有这样神奇?你是虚拟主机还是类似VPS的东东?如果只是虚拟主机,应该无办法改动文件时间吧?
注意一点就好。
张戈 2017-03-12 11:25:49 回复
找出来了就好~现在可以去搜索引擎申诉了。梦轩丽人 2017-01-25 19:42:16 回复
幸好我目前的网站运行良好,我隔段时间就用360检测!梦轩丽人 2017-03-12 11:25:50 回复
我就是通过隐藏管理入口,然后把密码弄复杂一些,页面代码都认真大概看一遍(不太懂也大概看看),暂时没出现啥问题。龙三公子 2017-03-12 11:25:50 回复
这种360检测不出来的。梦轩丽人 2017-01-25 19:42:16 回复
我就是通过隐藏管理入口,然后把密码弄复杂一些,页面代码都认真大概看一遍(不太懂也大概看看),暂时没出现啥问题。龙三公子 2017-03-12 11:25:50 回复
那就好,我以前没隐藏管理入口,这次隐藏了龙三公子 2017-01-25 19:42:17 回复
那就好,我以前没隐藏管理入口,这次隐藏了龙三公子 2017-01-25 19:42:16 回复
这种360检测不出来的。评论者 2017-01-25 19:42:16 回复
更改修改时间,有这样神奇?你是虚拟主机还是类似VPS的东东?如果只是虚拟主机,应该无办法改动文件时间吧?
注意一点就好。
龙三公子 2017-03-12 11:25:50 回复
我只是推测。文件时间是可以通过本地修改系统时间再保存生成的。龙三公子 2017-01-25 19:42:16 回复
我只是推测。文件时间是可以通过本地修改系统时间再保存生成的。评论者 2017-03-12 11:25:50 回复
好吧,原来可以这样的啊。囧。也对..~~哈哈哈评论者 2017-01-25 19:42:16 回复
好吧,原来可以这样的啊。囧。也对..~~哈哈哈龙三公子 2017-03-12 11:25:50 回复
是啊,对于黑客来说,只要他想作,没有不可能的啊龙三公子 2017-01-25 19:42:16 回复
是啊,对于黑客来说,只要他想作,没有不可能的啊张戈 2017-01-25 19:42:16 回复
找出来了就好~现在可以去搜索引擎申诉了。龙三公子 2017-03-12 11:25:50 回复
当天就申诉了,已经解封了的。龙三公子 2017-01-25 19:42:16 回复
当天就申诉了,已经解封了的。