Wie man nachverfolgt, welche JavaScripts geladen werden (Malware in Wordpress)

449
Lee.D

Ich habe Probleme mit einer infizierten Wordpress-Website. Die Seite wird zufällig zu einer zwielichtigen Werbung umgeleitet. Sie ähnelt der Beschreibung hier: https://blog.sucuri.net/2016/05/wordpress-redirect-hack-test0-default7.html

Ich habe bereits eine .NET-App geschrieben, die über 4000 PHP-Dateien von Schadcode löschte. Aber die Weiterleitung ist immer noch da.

Als Nächstes versuchte ich, die Weiterleitung über eine Chrome-HTTP-Header-Erweiterung zu analysieren. Es scheint, dass die Weiterleitung von einem infizierten JavaScript stammt. Das Problem ist, ich habe den schädlichen JavaScript-Code noch nicht gefunden und kann daher nicht danach suchen. Es gibt über 1000 JavaScripts auf der Website, die meisten davon sind minimiert.

Frage: Wie kann ich eine Liste von JavaScripts erhalten, die bei der ersten HTTP-Get-Anforderung geladen werden?

Antwort kann in PHP, JS, Python sein - Answer kann auch die Frage überschreiten, indem gezeigt wird, wie eine solche bösartige Infektion (Unerwünschte Weiterleitung) einer Wordpress-Website gefunden und entfernt werden kann, z andere Software.

Vielen Dank.

EDIT: Natürlich habe ich nur ein "WGET" der Root-URL ausprobiert und in die gespeicherte Datei geschaut. Aber ich konnte dort nichts finden, es scheint mir, dass Malware nur in einem echten Browser aktiv wird.

-1
Warum wird dies erneut herabgestuft? Was auch immer ich hier frage, egal welche Frage, die Menge an Informationen, die ich gebe, immer jemand ist mit meiner Frage sehr unzufrieden. Warum? Weil ich komplexere Fragen stelle als "Was ist 1 + 1"? Lee.D vor 6 Jahren 0
Vielleicht hat jemand angenommen, dass es sich um eine WP-Site handelt, die Sie hosten. In diesem Fall ist die Frage nicht sehr relevant, denn die einzige Lösung ist dann: Löschen und installieren Sie Ihre Site-Software von Grund auf neu, und fügen Sie die Daten aus einem Backup wieder ein. Jan Doggen vor 6 Jahren 0
Warum wäre das die einzige Lösung? Das Finden und Löschen der Malware könnte auch die Lösung sein, oder? Lee.D vor 6 Jahren 0
Nein ist es nicht. Einmal kompromittiert, sind alle Wetten von. Sie wissen nie, was sonst noch in Ihr System gepflanzt wurde. [Lesen Sie dies] (https://superuser.com/questions/100360/how-can-i-remove-malicious-spyware-malware-adware-viruses-trojans-or-rootkit), um eine ausführlichere Antwort zu erhalten. Jan Doggen vor 6 Jahren 0

2 Antworten auf die Frage

0
Gerard H. Pille

Es wird von der Root-URL geladen, kann aber auch über CSS und JS kommen. Ich würde alle meine Objekte nach base64_decode scannen.

0
Lee.D

Hier finden Sie die Antwort: https://stackoverflow.com/a/37148993/7679279

Wechseln Sie in den Chrome Developer Tools zur Registerkarte "Netzwerk" und verwenden Sie die Option "Protokoll beibehalten", bevor Sie die schädliche Site laden. Dadurch bleibt das Protokoll auch nach den Weiterleitungen erhalten.

Versuchen Sie von dort aus, die Ursache herauszufinden, indem Sie Skripts selektiv ausschalten, z. B. durch Umbenennen ihres Verzeichnisses in der Linux-Shell oder über FTP. Ich habe 10 Minuten gebraucht, um es so zu finden.

Verwandte Probleme