我有一个网站,网上商店。
几天前,我的防病毒软件开始发出警告,说明一些*.js
文件已被感染。
我看了一下这个被感染的文件,发现下面的代码在后面追加了(只显示了一部分):
/*! jQuery v1.11.3 | (c) 2005, 2015 jQuery Foundation, Inc. | jquery.org/license */ !function(a,b){"object"==typeof module&&"object"==typeof module.exports? ... ... /*95d84650ccbbad8b650fac933d031bf0*/ var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on /*95d84650ccbbad8b650fac933d031bf0*/
我检查我的系统的防病毒,它没有发现。
clamscan -r --move=/home/USER/VIRUS /
我更新了我的WordPress,并手动删除*.js
文件末尾添加的代码。
一段时间后,这个代码再次出现。
我试图删除它,修改或注释掉。 我试图find使用grep
的恶意代码,但没有发现任何东西…
没什么帮助。 时间已过,所有我的*.js
文件现在“感染”。 由于我的网站现在被封锁了…
我怎样才能find一个追加这个过程 –
... /*95d84650ccbbad8b650fac933d031bf0*/ var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on /*95d84650ccbbad8b650fac933d031bf0*/
在每个*js
文件的末尾?
没有检查服务器,很难找出问题。
如何改变文件的权限? 你可以删除写权限?
解决这个问题的正确和永久的办法—–
几分钟或一段时间后,.js文件再次被感染,因为黑客已经在服务器上配置了一个cron-job来执行此操作。 因此,首先通过访问服务器的cron作业功能来删除该cron作业。 之后,不需要更改权限或所有移动到每一个单一的文件,只需安装一个名为wordfence的插件扫描您的网站(也启用插件扫描),它会显示在原来的所有变化,当前文件选择所有可修复的文件并将其恢复到原始状态。
这次感染不会回来。 为了确保使用wordfence再次扫描网站,结果将是正面的。
谢谢。
再次感谢所有的信息。
什么帮助我:
我下载了WordPress 4.3.1并比较了wp-includes
和wp-admin
目录,替换了一些*.php
文件;
接下来,我使用PHP-Shell-Detector扫描我的文件,并删除了一些*.php
文件的写入权限;
最后,我删除了所有*.js
文件中的受感染部分。
PS:小心,定期备份。