可能重复:
我的服务器被黑了 紧急求助
我的网络应用程序已被黑客入侵,正在尝试删除恶意软件/代码注入。
扫描http://sitecheck.sucuri.net它说
已知的 javascript 恶意软件。
Details: http://labs.sucuri.net/db/malware/malware-entry-mwexploitkitblackhole1?v20<script>v=window;try{dsfsd++}catch(wEGWEGWEg){try{(v+v)()}catch(fsebgreber){try{v["document"]["body"]="123"}catch(gds){m=123;if((alert+"").indexOf("native")!==-1)ev=window["e"+"val"];}}
我已经使用 grep 在代码中搜索了上述详细信息中的字符串,例如“wEGWEGWEg”和“fsebgreber”,但一无所获。
使用 iscanner 扫描应用程序并检测到以下远程源。
[2.3] ((?:.*?</script>)?) 检测到来自远程源的 Javascript 代码。
<script type="text/javascript" src="https://tq935.infusionsoft.com/app/webTracking/getTrackingCode?trackingId=afde567bd5e0bd8d2b40870206901b9b"></script>
需要帮助来删除代码注入。
答案1
有两种常见情况和 1 种外部可能性......
有害代码已添加到页面中(很可能已被编码),因此不会以纯文本形式显示,不易阅读。您需要从该脚本中找到一些文本并将其从该页面中删除 + 搜索所有其他页面。
这是一种 SQL 注入攻击,有害代码/脚本实际上驻留在您的 SQL 数据库中。
可以在两个地方添加代码。
正如其他人所建议的,最干净、最安全、无需动手的删除方法是从干净的备份(数据库和网站文件)中恢复。另一种选择,取决于您的经验,是手动清理所有内容。
要找出入侵是如何发生的,需要花费一些时间,但首先要考虑易受攻击的第三方脚本/插件、您自己的手写代码、文件/图像上传脚本以及被入侵的用户帐户。作为起点,我会更改您在网站上使用的所有帐户的密码。我还会确认您正在运行最新版本的 WP,但攻击很可能来自其中一个插件。
如果您想弄清楚注入是如何发生的,并且在恢复网站之前,请下载整个网站/代码并在本地运行。只需意识到您正在计算机上运行受感染的网站/代码——了解其后果。有漏洞评估程序/扫描仪,以及可以帮助定位网站潜在漏洞的自由职业者。