Php

從程式碼中刪除惡意軟體

  • October 26, 2012

可能重複:

我的伺服器被黑了 緊急

我的網路應用程序已被黑客入侵並試圖刪除惡意軟體/程式碼注入。

通過http://sitecheck.sucuri.net掃描它,它說

已知的 JavaScript 惡意軟體。

Details: http://labs.sucuri.net/db/malware/malware-entry-mwexploitkitblackhole1?v20<script>v=window;try{dsfsd++}catch(wEGWEGWEg){try{(v+v)()}catch(fsebgreber){try{v["document"]["body"]="123"}catch(gds){m=123;if((alert+"").indexOf("native")!==-1)ev=window["e"+"val"];}}

我已經使用 grep 從上述詳細資訊中搜尋了字元串的程式碼,例如“wEGWEGWEg”和“fsebgreber”,但一無所獲。

使用 iscanner 掃描應用程序並檢測到以下遠端源。

$$ 2.3 $$((?:.*?</script>)?) 檢測到來自遠端源的 Javascript 程式碼。

&lt;script type="text/javascript" src="https://tq935.infusionsoft.com/app/webTracking/getTrackingCode?trackingId=afde567bd5e0bd8d2b40870206901b9b"&gt;&lt;/script&gt;

需要幫助刪除程式碼注入。

有兩種常見情況和一種外部可能性…

  1. 有害程式碼已添加到頁面中(並且很可能已被編碼),因此它不會是純文字且易於閱讀。您需要從該腳本中找到一些文本並將其從該頁面中刪除 + 搜尋所有其他頁面。
  2. 它是一種 SQL 注入攻擊,有害程式碼/腳本實際上駐留在您的 SQL 數據庫中。
  3. 可以在這兩個地方添加程式碼。

正如其他人所建議的那樣,最乾淨、最安全、非手動刪除將是從乾淨的備份(數據庫和網站文件)中恢復。根據您的經驗,另一種選擇是通過手動清理。

要查明入侵是如何發生的,需要時間,但首先要考慮易受攻擊的第 3 方腳本/外掛、您自己的手寫程式碼、文件/圖像上傳腳本和被入侵的使用者帳戶。作為起點,我會更改您在網站上使用的所有帳戶的密碼。我還要確認您正在執行最新版本的 WP,但攻擊很可能來自其中一個外掛。

如果您想弄清楚發生了注入,並且在恢復站點之前,請下載整個站點/程式碼並在本地執行它。**只需意識到您正在電腦上執行受感染的網站/程式碼 - 了解後果。**有漏洞評估程序/掃描程序,以及可以幫助定位網站潛在漏洞的自由職業者。

引用自:https://serverfault.com/questions/442643