谷歌屏蔽了我的网站:所有*.js文件都被感染了.如何找到感染我的JavaScript代码的进程

Google blocked my site: all *.js files infected. How to find a process that infects my JavaScript code?

本文关键字:我的 感染 何找 代码 进程 JavaScript 文件 网站 屏蔽 所有 谷歌      更新时间:2023-09-26

我有一个网站,网上商店。

几天前,我的防病毒软件开始发出警告,说一些*.js文件已被感染。

我查看了这个受感染的文件,发现下面的代码附加在最后(只显示了其中的一部分):

/*! jQuery v1.11.3 | (c) 2005, 2015 jQuery Foundation, Inc. | jquery.org/license */
!function(a,b){"object"==typeof module&&"object"==typeof module.exports? ...
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["'x6F'x6E'x6C'x6F'x61'x64","'x67'x65'x74'x44'x61'x74'x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/

我通过防病毒软件检查了我的系统,但一无所获。

clamscan -r --move=/home/USER/VIRUS /

我更新了我的WordPress,并手动删除了附加在*.js文件末尾的代码。

一段时间后,此代码再次出现。

我试图删除、修改或发表评论。我试图使用grep查找恶意代码,但没有找到任何内容。。。

没有什么帮助。时间过去了,我所有的*.js文件现在都"感染"了。由于我的网站现在被屏蔽了。。。

我如何才能找到一个附加此is的进程-

...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["'x6F'x6E'x6C'x6F'x61'x64","'x67'x65'x74'x44'x61'x74'x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/

在每个*js文件的末尾?

使用以下bash命令搜索受感染的文件:

grep -r ";document'[_" /path/to/www/folder/

如果你只想列出文件名,那么添加-l

grep -rl ";document'[_" /path/to/www/folder/

并使用以下命令将所有文件夹权限更改为755:

find /path/to/www/folder/* -type d ! -perm 0755 -print0 | xargs -0 chmod 0755

注意:如果没有,命令会将目录权限更改为755。

如果不检查服务器,很难发现问题。

更改文件的权限怎么样?你能删除写入权限吗?

这个问题的正确和永久的解决方案----

几分钟后或特定时间后,.js文件再次被感染。这是因为黑客在您的服务器上配置了一个cron作业。因此,首先通过访问服务器的cron作业函数来删除该cron作业。之后,无需更改权限或移动到每个文件,只需安装一个名为wordfence的插件即可使用它扫描您的网站(也启用插件扫描),它将向您显示原始文件对当前文件的所有更改,然后选择所有可修复文件并将其恢复到原始状态。

这次感染不会复发了。为了确保使用wordfence再次扫描网站,结果将是肯定的。

谢谢。

我为感染服务器的特定脚本创建了一个删除脚本。

相关文章: