1. дома
  2. Вопрос и ответ
  3. Google заблокировал мой сайт: все * .js файлы заражены. Как найти процесс, который заражает мой код JavaScript?

Google заблокировал мой сайт: все * .js файлы заражены. Как найти процесс, который заражает мой код JavaScript?

2015-11-05 10 views
2

У меня есть сайт, интернет-магазин.Google заблокировал мой сайт: все * .js файлы заражены. Как найти процесс, который заражает мой код JavaScript?

Несколько дней назад мой антивирус начал выдавать предупреждения о том, что некоторые из файлов *.js заражены.

Я смотрел на этих зараженных файлов и обнаружил, что следующий код добавляется в конец (показал только часть):

/*! jQuery v1.11.3 | (c) 2005, 2015 jQuery Foundation, Inc. | jquery.org/license */ 
!function(a,b){"object"==typeof module&&"object"==typeof module.exports? ... 
... 
/*95d84650ccbbad8b650fac933d031bf0*/ 
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on 
/*95d84650ccbbad8b650fac933d031bf0*/

Я проверил систему антивирусом и ничего не найдено.

clamscan -r --move=/home/USER/VIRUS/

Я обновил свой WordPress и вручную удалить код, который был вставляться в конце *.js файлов.

Спустя некоторое время этот код появился снова.

Я попытался удалить его, изменить или закомментировать. Я пытался найти вредоносный код, используя grep, но ничего не нашел ...

Ничего не помогает. Прошло время, и все мои файлы *.js теперь «заражены». В результате моего сайта заблокирована сейчас ...

Как я могу найти процесс, который присоединяет это -

... 
/*95d84650ccbbad8b650fac933d031bf0*/ 
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on 
/*95d84650ccbbad8b650fac933d031bf0*/

в конце каждого *js файла?

источник

2015-11-05 Aleksey Bykov

+1

Вы сказали, что это веб-сайт Wordpress, возможно, это плагин, который вы установили? – Carlos2W

+0

Да, может быть ... Я установил плагин для просмотра фотографий, но потом удалил все плагины ... –

+1

Прошу прощения, но если какой-либо из этих плагинов имел вирусы, удаление темы ничего не изменит, поскольку они уже помещены скрытые зараженные файлы. Лучшим решением является удаление разрешений любых файлов, которые вы не знаете. – Carlos2W

ответ

1

Не проверяя сервер, трудно решить проблему.

Как насчет изменения разрешений на файлы? Можете ли вы удалить права на запись?

источник

2015-11-05 17:28:01

+0

Благодарим вас за ответ. Да, я могу удалить права на запись. Попробуйте сейчас .. Но как найти процесс, который заражает? –

+1

Просто попробуйте посмотреть, какой файл php вы не «доверяете». Мы не можем сказать это для вас, у нас нет доступа к вашему серверу. – Carlos2W

+0

Спасибо, @ Carlos2W –

0

Еще раз спасибо за информацию.

Что помогло мне:

  • WordPress 4.3.1 Я скачал и сравнить wp-includes и wp-admin каталоги, заменить некоторые *.php файлы;

  • Далее я просмотрел свои файлы с помощью PHP-Shell-Detector и удалил разрешения на запись для некоторых файлов *.php;

  • И наконец, я удалил зараженные части из всех моих файлов *.js.

P.S .: Будьте осторожны и делайте регулярные резервные копии.

источник

2015-11-06 19:18:45

1

Права и постоянное решение этой проблемы -----

В .js файлов заражение снова через несколько минут или конкретное время, поскольку хакеры уже сконфигурированные в cronом на сервере, Сделай так . Итак, сначала удалите это задание cron, обратившись к функциям задания cron вашего сервера. После этого не нужно менять разрешение или все, что перемещается в каждый отдельный файл, просто установите плагин с именем wordfence, сканируйте свой сайт с ним (включите также сканирование плагинов), он покажет вам все изменения в оригинале в текущие файлы затем выберите все восстановленные файлы и верните их в исходное состояние.

На этот раз инфекция не вернется. Чтобы убедиться, что сканирование сайта снова со словом, результаты будут положительными.

Спасибо.

источник

2016-02-28 09:51:28

+0

Спасибо за ваш ответ! –

 Смежные вопросы

  • Нет связанных вопросов^_^