【每日一记】记一次WebShell查杀事件

为了确保对外业务系统安全，我会经常浏览公司对外发布的业务系统、公司官网等，恰巧今天浏览官网发现了一处异常，在打开公司主页后，地址栏右侧提示一个窗口被拦截。当访问该拦截窗口后，弹出如下页面........，很不幸，中招了！！！！！

为了减少影响，汇报给领导后第一件事情就是关停网站。进行事件分析，分析步骤如下：

一、分析页面请求

使用谷歌浏览器直接通过IP地址访问官网，F12调出网络分析工具，查看网络请求过程，请求过程如下，从下图中可以看到是执行了一个JS，然后跳转到http://sendbitcoin.email/比特币的网站。

二、分析JS代码

找到恶意JS了，但是如何找到JS代码在哪里呢？这个问题困扰了我很长时间，官网已经没有运维很多年了，没人对官网的代码、发布目录等情况有所了解，只能要来系统账号自己来查找了，查了好久根本就无法找到t.js文件，经过分析后终于找到了突破口，通过查看JS的调用过程可知是由jquery.once.js调用完成的。

三、查找恶意代码

打开jquery.once.js，发现如下一段可疑代码，代码内容如下

对这段16进制编码进行在线解码(https://tool.lu/)，解码后内容如下图，总算是找到最邪恶的代码了。

学习学习

感谢分享