我有一个网站,网上商店。
几天前,我的防病毒软件开始发出一些*.js
文件被感染的警告。
我查看了这个受感染的文件,发现最后附加了以下代码(只显示了部分内容):
/*! jQuery v1.11.3 | (c) 2005, 2015 jQuery Foundation, Inc. | jquery.org/license */
!function(a,b){"object"==typeof module&&"object"==typeof module.exports? ...
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/
我通过防病毒软件检查了我的系统,但没有找到。
clamscan -r --move=/home/USER/VIRUS /
我更新了我的WordPress并手动删除了附加在*.js
文件末尾的代码。
一段时间后,这段代码又出现了。
我试图删除它,修改或注释掉。我试图使用grep
找到恶意代码,但没有找到任何东西......
什么都没有帮助。时间过去了,我所有的*.js
文件现在都被“感染”了。由于我的网站现在被阻止...
我怎样才能找到追加这个的流程 -
...
/*95d84650ccbbad8b650fac933d031bf0*/
var _0xf19b=["\x6F\x6E\x6C\x6F\x61\x64","\x67\x65\x74\x44\x61\x74\x65", ... // and so on
/*95d84650ccbbad8b650fac933d031bf0*/
在每个*js
文件的末尾?
如果不检查服务器,很难找到问题所在。
如何更改文件的权限?你能删除写权限吗?
使用以下bash命令搜索受感染的文件:
grep -r ";document\[_" /path/to/www/folder/
如果您只想列出文件名,请添加-l
grep -rl ";document\[_" /path/to/www/folder/
并使用以下命令将所有文件夹权限更改为755:
find /path/to/www/folder/* -type d ! -perm 0755 -print0 | xargs -0 chmod 0755
注意:如果没有,命令会将目录权限更改为755。
解决这个问题的正确和永久的解决方案-----
几分钟或特定时间后,.js文件再次被感染,因为黑客已在您的服务器上配置了一个cron-job来执行此操作。因此,首先通过访问服务器的cron作业功能来删除该cron作业。之后无需更改权限或移动到每个文件的所有权限,只需安装一个名为wordfence的插件扫描您的网站(也启用插件扫描)它将显示原始文件中当前文件的所有更改然后选择所有可修复文件并将其恢复到原始状态。
这次感染不会再回来了。为了确保使用wordfence再次扫描网站,结果将是积极的。
谢谢。
我为感染我的服务器here的特定一个创建了一个删除脚本。