Google 阻止了我的站点:所有 *.js 文件都被感染。如何找到感染我的 JavaScript 代码的进程?
Google blocked my site: all *.js files infected. How to find a process that infects my JavaScript code?
我有一个网站,网上商店。
几天前,我的防病毒软件开始发出警告,指出某些 *.js 文件已被感染。
我查看了这个被感染的文件,发现最后附加了以下代码(只显示了其中的一部分):
/*! jQuery v1.11.3 | (c) 2005, 2015 jQuery Foundation, Inc. | jquery.org/license */
!function(a,b){"object"==typeof module&&"object"==typeof module.exports? ...
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/
我用杀毒软件检查了我的系统,但没有发现任何问题。
clamscan -r --move=/home/USER/VIRUS /
我更新了我的 WordPress 并手动删除了附加在 *.js 文件末尾的代码。
一段时间后,再次出现此代码。
我试过删除、修改或注释掉。我尝试使用 grep 查找恶意代码,但没有找到任何东西...
没有任何帮助。时间过去了,我所有的 *.js 个文件现在 "infected"。由于我的网站现在被封锁了...
我怎样才能找到追加这个的进程 -
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/
在每个 *js 文件的末尾?
不检查服务器,很难找出问题。
如何更改文件的权限?可以取消写权限吗?
这个问题的正确永久解决方案-----
.js 文件在几分钟或特定时间后再次被感染,这是因为黑客在您的服务器上配置了一个 cron-job 来执行此操作。
因此,首先通过访问服务器的 cron 作业函数来删除该 cron 作业。
之后无需更改权限或所有移动到每个文件的内容,只需安装一个名为 wordfence 的插件用它扫描您的站点(也启用插件扫描)它会显示原始文件到当前文件的所有更改select所有可修复文件并恢复原状。
这次感染不会回来了。为确保使用 wordfence 再次扫描该站点,结果将是肯定的。
谢谢。
使用以下 bash 命令搜索受感染的文件:
grep -r ";document\[_" /path/to/www/folder/
如果您只想列出文件名,请添加 -l
grep -rl ";document\[_" /path/to/www/folder/
并使用以下命令将所有文件夹权限更改为 755:
find /path/to/www/folder/* -type d ! -perm 0755 -print0 | xargs -0 chmod 0755
注意:如果不是,命令会将目录权限更改为 755。
我为感染我的服务器的特定脚本创建了一个删除脚本 here。
我有一个网站,网上商店。
几天前,我的防病毒软件开始发出警告,指出某些 *.js 文件已被感染。
我查看了这个被感染的文件,发现最后附加了以下代码(只显示了其中的一部分):
/*! jQuery v1.11.3 | (c) 2005, 2015 jQuery Foundation, Inc. | jquery.org/license */
!function(a,b){"object"==typeof module&&"object"==typeof module.exports? ...
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/
我用杀毒软件检查了我的系统,但没有发现任何问题。
clamscan -r --move=/home/USER/VIRUS /
我更新了我的 WordPress 并手动删除了附加在 *.js 文件末尾的代码。
一段时间后,再次出现此代码。
我试过删除、修改或注释掉。我尝试使用 grep 查找恶意代码,但没有找到任何东西...
没有任何帮助。时间过去了,我所有的 *.js 个文件现在 "infected"。由于我的网站现在被封锁了...
我怎样才能找到追加这个的进程 -
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/
在每个 *js 文件的末尾?
不检查服务器,很难找出问题。
如何更改文件的权限?可以取消写权限吗?
这个问题的正确永久解决方案-----
.js 文件在几分钟或特定时间后再次被感染,这是因为黑客在您的服务器上配置了一个 cron-job 来执行此操作。 因此,首先通过访问服务器的 cron 作业函数来删除该 cron 作业。 之后无需更改权限或所有移动到每个文件的内容,只需安装一个名为 wordfence 的插件用它扫描您的站点(也启用插件扫描)它会显示原始文件到当前文件的所有更改select所有可修复文件并恢复原状。
这次感染不会回来了。为确保使用 wordfence 再次扫描该站点,结果将是肯定的。
谢谢。
使用以下 bash 命令搜索受感染的文件:
grep -r ";document\[_" /path/to/www/folder/
如果您只想列出文件名,请添加 -l
grep -rl ";document\[_" /path/to/www/folder/
并使用以下命令将所有文件夹权限更改为 755:
find /path/to/www/folder/* -type d ! -perm 0755 -print0 | xargs -0 chmod 0755
注意:如果不是,命令会将目录权限更改为 755。
我为感染我的服务器的特定脚本创建了一个删除脚本 here。