Yandex搜索发现网站感染页面如何阻止或删除恶意代码

为了帮助网站管理员更快地查找和删除恶意代码，Yandex 会在查看受感染网站的页面时显示有关将恶意代码加载到用户浏览器中的主机链的信息。

此信息使您可以确定恶意代码是通过受感染站点页面上的哪个块加载的。

例如，如果链看起来像：

要阻止站点传播恶意代码，您需要执行以下操作之一：

• 删除导致 infected-2.htm标签 ( <script>, <iframe>) 出现在页面上的 Web 服务器页面或脚本的一部分，从该站点加载块marthamio.cu.cc或重定向到该站点；

• 要求marthamio.cu.cc的所有者停止分发从 下载它们的块groogle.cu.cc/?said=3333&q=facebook；

• 从资源中消除恶意代码的传播aroymac.cu.cc/main.php?page=362ae50582a6bb40。

Web 服务器恶意代码将标签写入页面并从中加载块marthamio.cu.cc或重定向到该页面可以被混淆：

• 故意弄得难以理解或不可读——寻找你没有写下的部分脚本，尤其是没有结构和缩进的部分；

• 编码——这些元素可以通过无意义的字符串和函数的使用找到eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13, assert, create_function, preg_replace；

• 隐藏.htaccess在 Web 服务器的其他配置文件、脚本语言解释器、CMS 模板和设置中。

• 从第三方 Web 服务器动态加载（php 函数file_get_contents, curl_exec等）。

删除后，Web 服务器恶意代码可能会再次出现，原因如下：

• 1.存在网络服务器后门；

• 2.泄露网络服务器（FTP、SSH）、托管管理面板或 CMS 的密码；

• 3.通过更改 root 用户的密码或添加具有必要权限的用户来入侵服务器；

• 在网站管理员的计算机上存在后门或机器人，您可以使用它们远程代表网站管理员向网络服务器发出命令并更改网站页面。

Web 浏览器恶意代码可以通过类似的方法进行混淆。可以使用构造eval, document.write, document.location, document.URL, window.location, window.navigate，重新定义 DOM 元素的 src，使用标签加载对象<object>，<embed>创建 ActiveX，使用加载的对象更改页面代码。此外，请注意长脚本和冗余字符串操作，例如将多个字符串重新分配或连接为一个。