我有一个网站,网上商店。
几天前,我的防病毒软件开始发出警告,其中一些*.js文件已被感染。
我查看了这个受感染的文件,发现最后附加了以下代码(只显示了其中的一部分):
/*! jQuery v1.11.3 | (c) 2005, 2015 jQuery Foundation, Inc. | jquery.org/license */
!function(a,b){"object"==typeof module&&"object"==typeof module.exports? ...
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/
我通过防病毒检查了我的系统,但没有找到任何内容。
clamscan -r --move=/home/USER/VIRUS /
我更新了WordPress,并手动删除*.js文件末尾附加的代码。
一段时间后,这段代码又出现了。
我试图将其删除,修改或注释掉。我试图使用grep查找恶意代码,但没有找到任何内容......
没有任何帮助。时间过去了,现在我的所有*.js个文件都被感染了#34;由于我的网站现在被阻止...
如何找到附加此进程的进程 -
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/
在每个*js文件的末尾?
答案 0 :(得分:2)
使用以下bash命令搜索受感染的文件:
grep -r ";document\[_" /path/to/www/folder/
如果您只想列出文件名,请添加-l
grep -rl ";document\[_" /path/to/www/folder/
并使用以下命令将所有文件夹权限更改为755:
find /path/to/www/folder/* -type d ! -perm 0755 -print0 | xargs -0 chmod 0755
注意:如果没有,命令会将目录权限更改为755。
答案 1 :(得分:1)
如果不检查服务器,很难找到问题。
如何更改文件的权限?你能删除写权限吗?
答案 2 :(得分:1)
解决这个问题的正确和永久的解决方案-----
.js文件在几分钟后或特定时间后再次被感染,因为黑客已在您的服务器上配置了一个cron-job来执行此操作。 因此,首先通过访问服务器的cron作业功能来删除该cron作业。 之后无需更改权限或移动到每个文件的所有权限,只需安装一个名为wordfence的插件扫描您的网站(也启用插件扫描)它将显示原始文件中当前文件的所有更改然后选择所有可修复的文件并将其恢复到原始状态。
这次感染不会再回来了。为确保使用wordfence再次扫描网站,结果将是正面的。
感谢。
答案 3 :(得分:1)
我为感染服务器here的特定脚本创建了一个删除脚本。