3

我有一个网站,网上商店。

几天前,我的防病毒软件开始发出一些*.js文件被感染的警告。

我查看了这个受感染的文件,发现末尾附加了以下代码(仅显示了其中的一部分):

/*! jQuery v1.11.3 | (c) 2005, 2015 jQuery Foundation, Inc. | jquery.org/license */
!function(a,b){"object"==typeof module&&"object"==typeof module.exports? ...
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/

我通过防病毒检查了我的系统,但没有发现任何东西。

clamscan -r --move=/home/USER/VIRUS /

我更新了我的 WordPress 并手动删除了附加在文件末尾的代码*.js

过了一段时间,这段代码又出现了。

我试图删除、修改或注释掉它。我试图使用 找到恶意代码grep,但没有找到任何东西......

没有什么帮助。时间过去了,我所有的*.js文件现在都“被感染”了。由于我的网站现在被阻止...

我怎样才能找到一个附加的过程是 -

...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/

在每个*js文件的末尾?

4

4 回答 4

1

使用以下 bash 命令搜索受感染的文件:

grep -r ";document\[_" /path/to/www/folder/

如果您只想列出文件名,请添加 -l

grep -rl ";document\[_" /path/to/www/folder/

并使用以下命令将所有文件夹权限更改为 755:

find /path/to/www/folder/* -type d ! -perm 0755 -print0 | xargs -0 chmod 0755

注意:如果没有,命令会将目录权限更改为 755。

于 2018-04-25T12:39:29.927 回答
0

不检查服务器,很难找出问题所在。

如何更改文件的权限?你可以删除写权限吗?

于 2015-11-05T17:28:01.020 回答
0

我在这里为感染我的服务器的特定脚本创建了一个删除脚本。

于 2019-02-28T23:52:00.513 回答
0

这个问题的正确和永久的解决方案-----

.js 文件在几分钟或特定时间后再次被感染是因为黑客在您的服务器上配置了一个 cron-job 来执行此操作。因此,首先通过访问服务器的 cron 作业功能来删除该 cron 作业。之后无需更改权限或所有移动到每个文件,只需安装一个名为 wordfence 的插件,用它扫描您的网站(也启用插件扫描)它会显示原始文件对当前文件的所有更改选择所有可修复的文件并将它们恢复到原始状态。

这次感染不会再回来了。为了确保使用 wordfence 再次扫描该站点,结果将是肯定的。

谢谢。

于 2016-02-28T09:51:28.293 回答