最近有家山寨苹果打cms关键字会出现头顶广告,几乎都跳转到同一个网页

因为有名气了看下各种拆解分析结果

域名刚刚注册没几天

fork正版代码库

细心的抓包取证，得到了以下提供部分劫持和攻击代码证据，他们会利用cloudflare的规则跳转，进行分国家分地区不同时段的分批量挂马！ 尤其是凌晨1点到6点之前！

只要你的播放页面F12有如下请求，恭喜你已沦为攻击和挂马肉鸡！

http://union.maccms.com/html/top10.js 和 http://union.maccms.pro/html/top10.js
跳转到 http://union.macvideojs.com/html/top10.js

http://union.maccms.com/html/top.js 和 http://union.maccms.pro/html/top.js
跳转到 http://union.macvideojs.com/html/top.js

程序内部自带的player.js解密后是这样的，有后门跳转和远程链接。

凌晨抓包到了，可以自行解密

代码解密如下

假苹果cms泄露任何站长网站的地址！！！ 必备被人DDOS，CC，和假墙攻击！

最后提醒：正版链接进入的是：https://github.com/magicblack