所以我很确定我的网站已经感染了某种木马或病毒,这些木马或病毒会附着在网站内的脚本上。每次我尝试更新我的基于 Drupal 的站点时,我都会得到一个白屏,并显示这个愚蠢的“我在这里”消息。重新加载后,更改将生效,但我不知道保存更改后这是做什么的。这只会在管理站点、IE 发布新内容、激活/停用模块等时弹出。
问题是,我一点也不知道如何或去哪里删除它。源代码没有引用任何恶意代码。它不是我通过试图找到这个问题的答案而发现的 iFrame 链接类型的木马。
我尝试过的事情:
- 多次扫描计算机中的病毒(据说这些东西会攻击不安全的 FTP 数据并劫持您的客户端以上传恶意代码)
-更改了 FTP 凭据
-将管理员用户密码更改为站点后端(Drupal 登录)
-更新了 Drupal
到目前为止没有任何工作,我正在努力解决这个问题。任何正确方向的提示将不胜感激。
假设问题确实是 Drupal,首先检查在表单提交期间某个模块中是否有某些代码触发。如果您有 shell 访问权限并且它是基于 Unix/Linux/etc. 的服务器,请导航到 Drupal 目录并运行:
grep -r "i\'mhere" *
这将告诉您它是否存在于代码中以及包含它的文件。如果它是一个模块(可能),请禁用它并查看是否有更新或自行修改。
如果它不在代码中,请检查您的数据库。创建数据库的转储,然后运行:
cat databasedump.sql | grep "i\'mhere"
其中 databasedump.sql 是您刚刚创建的数据库转储的名称。这至少应该让您大致了解数据存在于哪个表中。然后,您可以决定如何继续:从以前的备份恢复,删除有问题的数据等。
如果两者都没有,它可能是本地的。与其他人一起检查是否发生在他们身上。
如果它不是本地的,那么您就会遇到一些非常讨厌的事情,希望其他人对您可以检查的内容有其他想法。:)
以下是可以帮助您缓解、减少或预防病毒感染的潜在有用工具列表:
bdcored chkrootkit clamd drwebd ipfw iptables kav lidsadm
logcheck logwatch ninja nod32 ossec portsentry rkhunter
sav sawmill shieldcc snort sxid sysmask tcplodg tripwire
uvscan wormscan zmbscap
它直接来自臭名昭著的后门恶意软件,在这篇 stackoverflow 文章中有所描述。
您可能希望通过运行以下简单命令手动搜索病毒的其他实例:
[~] grep -r "base64_decode" .
正如 thegothicparty.com 上这篇 RAT 感染文章中所建议的那样:http: //thegothicparty.com/dev/article/server-side-virus-rat/