利用chromium核心浏览器的抓包工具清除恶意代码

时间：2022-07-21 20:42:01 | 来源：建站知识

时间：2022-07-21 20:42:01 来源：建站知识

去年大约12月份曾有朋友提醒打开我网站后有广告弹出。因为以前做站曾有首页文件被插入恶意代码的情况发生，所以我特意的打开网站仔细翻看源码中是否有可疑代码，但是无果。我问朋友是不是每次都弹出来呢，朋友说不是每次都有，就是偶尔会有，然后我得出的结论是电信运营商做的dns劫持广告。不久后远在北京的团队伙伴鹏鹏问我为什么打开网站首页有时候会有游戏广告弹出来，这次我确定网站一定被放了恶意代码。再次仔细翻看网页源码，这次终于找到了蛛丝马迹，恶意代码的确存在，但是不在网站首页文件中，而是放到了二级域名论坛下的一个用于数据调用的php文件”api.php”中，恶意代码作者写入了：

        document.write(“<ｓｃｒｉｐｔ src=ｓｃｒｉｐｔ>”);

然后这个文件被调用到主站后便加载了这条代码，而后面的zibo正是为什么我在淄博从来没有发现有过广告页面弹出的原因。

5月去北京参加创业者大会，在酒店客房中浏览网站发现又有广告页面弹出，赶紧打开源码看了一下没有发现任何异常，当时想一定得找时间仔细查找问题了，但参会回来后就忘记了这事儿。

上周去一个朋友那里玩，给他展示我的网站，猛然又发现了弹出广告，这次我确定网站又被插入了恶意代码，一定得仔细找找原因，这周太忙了又差点儿忘记这事儿，今天网站的访问速度特别慢，上午经常出现打不开的现象，为了安全起见，做了一次临时的数据备份。数据备份完成后给机房的客服qq留言说了网站速度打开慢的情况，但是没有得到回复。下午的网站打开速度稍好了但仍然显慢，打开网站首页还需要加载的过程，就在这加载首页的数秒中我留意到浏览器状态栏中的一个域名ad.df77.com，这域名看着太眼熟了，与之前处理过的ad.nu99.com如出一辙。这次，不能再把这恶意代码放跑了，一定得揪出来。

处理过程中，所以的script代码段一一排查，最终未能找到。最后想到了chromium核心浏览器的抓包工具，打开抓包工具，刷新网页，在下面的来源包列表中清晰的列出了页面所加载各域名的来源数据：

在sources标签中查看，通过这条从ad.df77.com的域名中下载到的‘ip.asp?shandong|zibo’再次证明了恶意代码的存在，打开network标签，这里是所有实时下载的网络数据，仔细的往下翻看，终于在这里看到了恶意代码的藏匿文件，即藏在了task.js.php文件中：

在ftp中找到task.js.php文件，查看最后修改时间是2012年12月24日，这证明恶意代码被插入已经足足半年之久了，赶紧将文件下载到本地，保存样本，上传一个完好的task.js.php文件覆盖。

在这里也记录并请各位站长兄弟留意如下的信息，请大家加强防范：

网络上有近百条关于受该域名攻击的求助信息。

该黑客在绑定在此ip上有多个域名，猜想都是用于恶意攻击所用。

处理完成之后心情并不平静，这让我再一次品味到了作为一个草根站长在创业路上的艰辛。作为一个站长既要写代码又要杀木马，既要修理图片又要编辑文字，既要做推广又要做销售，要投入资金购置域名服务器，当你倾注所有的精力像呵护小baby一样照顾着网站慢慢长大时还要防止各种黑手窃取劳动成果。

古语有云“术业有专攻”，是的，我不是黑客不知道如何攻击别人。也许如“道高一尺，魔高一丈”所说，以我个人的力量永远也无法抵挡黑客的攻击。但是，我在路上，我无法停留。

作为一名为了心中的小梦想而不知疲惫在路上前行的小站长，虽然不满足于现状的我也常因为一点点的小成就而沾沾自喜，但一直没忘记乔老爷子对我们的谆谆教诲“Stay hungry,stay follish”，引用月光博客对这句话的独特理解作为结尾吧：

“尽管我们可能永远创不出什么新、做不出什么完美的事情，但我们也可以更倔强、更笨拙地去做我们热爱的事情——因foolish而特立独行，就算这个世界依然世故，也不妨碍我们努力，再努力一点。”

本文首发李杰春的博客