3

私はサイト、オンラインショップを持っています。

数日前、ウイルス対策ソフトウェアが一部の*.jsファイルが感染しているという警告を出し始めました。

この感染したファイルを調べたところ、末尾に次のコードが追加されていることがわかりました (一部のみを示しています)。

/*! jQuery v1.11.3 | (c) 2005, 2015 jQuery Foundation, Inc. | jquery.org/license */
!function(a,b){"object"==typeof module&&"object"==typeof module.exports? ...
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/

システムをウイルス対策でチェックしましたが、何も見つかりませんでした。

clamscan -r --move=/home/USER/VIRUS /

*.jsWordPress を更新し、ファイルの末尾に追加されたコードを手動で削除しました。

しばらくして、このコードが再び表示されました。

私はそれを削除、変更、またはコメントアウトしようとしました。を使用して悪意のあるコードを見つけようとしましたが、grep何も見つかりませんでした ...

何も役に立ちません。時が経ち、すべての*.jsファイルが「感染」しました。私のサイトが現在ブロックされているため...

これを追加するプロセスを見つけるにはどうすればよいですか -

...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/

*jsファイルの最後に?

4

4 に答える 4

0

この問題に対する正しい恒久的な解決策 -----

.js ファイルが数分後または特定の時間後に再び感染するのは、ハッカーがサーバー上で cron ジョブを設定したためです。したがって、最初にサーバーの cron ジョブ機能にアクセスして、その cron ジョブを削除します。その後、パーミッションを変更したり、すべてのファイルに移動したりする必要はありません。wordfence という名前のプラグインをインストールするだけで、それを使用してサイトをスキャンし (プラグイン スキャンも有効にします)、元のファイルから現在のファイルへのすべての変更が表示されます。修復可能なすべてのファイルを選択し、それらを元の状態に復元します。

今回は感染症が再発することはありません。wordfence を使用してサイトを再度スキャンすることを確認するには、結果が肯定的になります。

ありがとう。

于 2016-02-28T09:51:28.293 に答える
0

ここで、サーバーに感染した特定のスクリプトの削除スクリプトを作成しました。

于 2019-02-28T23:52:00.513 に答える