Google屏蔽了我的网站:所有* .js文件受到感染。 如何find一个感染我的JavaScript代码的过程?

我有一个网站,网上商店。

几天前,我的防病毒软件开始发出警告,说明一些*.js文件已被感染。

我看了一下这个被感染的文件,发现下面的代码在后面追加了(只显示了一部分):

 /*! jQuery v1.11.3 | (c) 2005, 2015 jQuery Foundation, Inc. | jquery.org/license */ !function(a,b){"object"==typeof module&&"object"==typeof module.exports? ... ... /*95d84650ccbbad8b650fac933d031bf0*/ var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on /*95d84650ccbbad8b650fac933d031bf0*/ 

我检查我的系统的防病毒,它没有发现。

 clamscan -r --move=/home/USER/VIRUS / 

我更新了我的WordPress,并手动删除*.js文件末尾添加的代码。

一段时间后,这个代码再次出现。

我试图删除它,修改或注释掉。 我试图find使用grep的恶意代码,但没有发现任何东西…

没什么帮助。 时间已过,所有我的*.js文件现在“感染”。 由于我的网站现在被封锁了…

我怎样才能find一个追加这个过程 –

 ... /*95d84650ccbbad8b650fac933d031bf0*/ var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on /*95d84650ccbbad8b650fac933d031bf0*/ 

在每个*js文件的末尾?

没有检查服务器,很难找出问题。

如何改变文件的权限? 你可以删除写权限?

解决这个问题的正确和永久的办法—–

几分钟或一段时间后,.js文件再次被感染,因为黑客已经在服务器上配置了一个cron-job来执行此操作。 因此,首先通过访问服务器的cron作业功能来删除该cron作业。 之后,不需要更改权限或所有移动到每一个单一的文件,只需安装一个名为wordfence的插件扫描您的网站(也启用插件扫描),它会显示在原来的所有变化,当前文件选择所有可修复的文件并将其恢复到原始状态。

这次感染不会回来。 为了确保使用wordfence再次扫描网站,结果将是正面的。

谢谢。

再次感谢所有的信息。

什么帮助我:

  • 我下载了WordPress 4.3.1并比较了wp-includeswp-admin目录,替换了一些*.php文件;

  • 接下来,我使用PHP-Shell-Detector扫描我的文件,并删除了一些*.php文件的写入权限;

  • 最后,我删除了所有*.js文件中的受感染部分。

PS:小心,定期备份。