Как отследить, какие JavaScripts загружаются (вредоносное ПО в Wordpress)

358
Lee.D

У меня проблемы с зараженным сайтом Wordpress. Случайно страница перенаправляется на какую-то теневую рекламу. Это похоже на описание здесь: https://blog.sucuri.net/2016/05/wordpress-redirect-hack-test0-default7.html

Я уже написал приложение .NET, которое очистило более 4000 PHP-файлов от вредоносного кода. Но перенаправление все еще там.

Затем я попытался проанализировать перенаправление с помощью расширения Chrome-HTTP-Headers. Похоже, что редирект исходит от зараженного JavaScript. Проблема в том, что я еще не нашел вредоносный код JavaScript и не могу его найти. На веб-сайте более 1000 JavaScripts, большинство из них минимизированы.

Вопрос: Как я могу получить список скриптов JavaScript, которые загружаются при первом запросе HTTP-Get?

Ответ может быть на PHP, JS, Python - Ответ также может превышать вопрос, показывая, как найти и удалить такую ​​вредоносную инфекцию (нежелательное перенаправление) веб-сайта Wordpress, например, с помощью бесплатных онлайн-сервисов, расширения Chrome или Firefox или другое программное обеспечение.

Благодарю.

РЕДАКТИРОВАТЬ: Конечно, я попытался просто «WGET» корневого URL и посмотрел в сохраненный файл. Но я не могу найти там ничего, мне кажется, что вредоносное ПО становится активным только в реальном браузере.

-1
Почему об этом снова говорят? Что бы я ни спрашивал здесь, независимо от вопроса, количества информации, которое я предоставляю, всегда кто-то серьезно недоволен моим вопросом. Зачем? Потому что я задаю более сложные вопросы, чем "Что такое 1 + 1"? Lee.D 6 лет назад 0
Возможно, кто-то предположил, что это сайт WP, который вы размещаете. В этом случае вопрос не очень актуален, потому что единственное решение - стереть и установить программное обеспечение вашего сайта с нуля и вернуть данные из резервной копии. Jan Doggen 6 лет назад 0
Почему это единственное решение? Поиск и удаление вредоносного ПО также может быть решением, верно? Lee.D 6 лет назад 0
Нет. После взлома все ставки сделаны. Вы никогда не знаете, что еще было установлено в вашей системе. [Прочтите это] (https://superuser.com/questions/100360/how-can-i-remove-malicious-spyware-malware-adware-viruses-trojans-or-rootkit) для более подробного ответа. Jan Doggen 6 лет назад 0

2 ответа на вопрос

0
Gerard H. Pille

Он будет загружен корневым URL-адресом, но может также быть и через CSS JS. Я бы просканировал все свои объекты на предмет base64_decode.

0
Lee.D

Нашел ответ здесь: https://stackoverflow.com/a/37148993/7679279

В Chrome Developer Tools перейдите на вкладку «Сеть» и используйте параметр «Сохранить журнал» перед загрузкой вредоносного сайта. Это будет вести журнал даже после перенаправления.

Оттуда попытайтесь найти причину, выборочно отключить сценарии, например, переименовав их каталог в оболочке Linux или через FTP. Мне понадобилось 10 минут, чтобы найти его таким.

Похожие вопросы