在本案例中，在jquery-migrate.min.js 的恶意脚本会将Windows用户重定向到hxxp://get .adobe .com .flashplayer .frogsland .com/flashplayer_20ga/，其它系统用户则重定向到hxxps://goo .gl/54Miz5。而jquery.js中的恶意脚本则将Windows系统和非Windows系统的用户重定向到hxxps://goo .gl/54Miz5。

而Windows重定向的URL是伪造的。我们可以看到其被伪装成Flash player的升级页面。但其实该网址已经被Google列入钓鱼网站的黑名单中了。

以下链接是VirusTotal针对该网址提供升级并下载的恶意程序的分析报告，大家有兴趣可以看看。

VirusTotal链接

恶意广告的植入

另外一个重定向网址“hxxps://goo .gl/54Miz5”，则指向“hxxps://go .padsdel .com/afu.php?id=473791“。这是一个隶属于广告联盟的网址。

从实际情况来看，将访问流量从被攻击的网站重定向到广告联盟链接是2015年较为常用的攻击方式。而我们也看到越来越多的攻击者从中获利。攻击者一般在此类攻击中将广告联盟链接嵌入其中，并利用这种方式从广告商那里获利。这些广告商往往愿意出价的原因是通过重定向的网站，诱骗访问者去安装恶意软件和垃圾软件（UWS）。而这些恶意软件可以劫持浏览器，用以显示更多的垃圾和恶意广告。（这看起来似乎像是一个递归的恶意广告投入模式）

广告和恶意软件一般都是并行的，在本次“jquery pastebin”攻击案例中，攻击者有两种操作模式：一个是针对垃圾广告，另外一个是针对恶意软件。而这种模式也逐渐在黑市中形成“盈利”产业链条。

Goo.gl链接统计

Goo.gl链接一般都较为明显，我们可以看到任意短链接的使用统计数量。比如，以下是重定向的网址 的使用数据。

我们可以看到攻击者开始使用重定向网址”hxxps://goo .gl/54Miz5” 是在12月15日。经过对其监测，该网址平均每天有接近1万的访问量（即重定向次数），而在12月29日则到达顶峰，有超过3万访问量。这些数字同时也代表了被重定向的访问者的数量，因为恶意软件通过cookie设置不会对已知的访问者进行重定向。

防护措施

从影响来看，这种攻击会比较令人头疼。而一种相对麻烦的解决方式是对.js文件中的恶意代码进行清除，但这样做却是存在可能会因为不小心清空代码造成网站不可用的风险，所以如果采用这种方法还请注意。

另外一种较为容易的解决方式是：

1、利用最近备份的副本恢复到原先的版本及状态； 2、升级或者重装WordPress； 3、对感染的.js文件进行修复，用户可以在以下地址中获取标准版本，（针对WordPress 4.4）

与此同时，仅仅只是清除恶意代码对于网站的安全保障来说还是不够的，用户最好能够全面扫描下服务器，检查是否存在后门，并修补发现的安全漏洞。同时，在平时应该利用工具或者其他方式，对网站进行实时监控，确保能在攻击发生时，管理员可以及时作出反应。