最近有家山寨苹果打cms关键字会出现头顶广告,几乎都跳转到同一个网页
因为有名气了看下各种拆解分析结果
域名刚刚注册没几天
fork正版代码库
细心的抓包取证,得到了以下提供部分劫持和攻击代码证据,他们会利用cloudflare的规则跳转,进行分国家分地区不同时段的分批量挂马! 尤其是凌晨1点到6点之前!
只要你的播放页面F12有如下请求,恭喜你已沦为攻击和挂马肉鸡!
http://union.maccms.com/html/top10.js 和 http://union.maccms.pro/html/top10.js
跳转到 http://union.macvideojs.com/html/top10.js
http://union.maccms.com/html/top.js 和 http://union.maccms.pro/html/top.js
跳转到 http://union.macvideojs.com/html/top.js
程序内部自带的player.js解密后是这样的,有后门跳转和远程链接。
凌晨抓包到了,可以自行解密
代码解密如下
假苹果cms泄露任何站长网站的地址!!! 必备被人DDOS,CC,和假墙攻击!
最后提醒:正版链接进入的是:https://github.com/magicblack