WordPress和Joomla网站：遭受欺骗jQuery攻击

JQuery是一个非常主流的JS代码库，它的出现主要是为了消除不同浏览器之前的JS实现差异。如果你曾尝试过WEB编程，你会发现做不同浏览器之间的兼容是多么的枯燥乏味，甚至有时候还非常的艰难。在这一类情况下，JQuery这个库是很有用的。

当然这样的知名的库想要引起黑客的注意，只是时间问题。欺骗jQuery注入（Fake jQuery injections）在黑客中是非常受欢迎的。这种攻击会将伪造的jQuery脚本，注入如Wordpress和Joomla这样的CML网站的head区域。

这些代码在标签里，非技术人员通常不去看源码，是看不到特别的东西的。

恶意代码内容

首先你在看那些没有经过混淆的源码时，你只能看到少数几个变量和插入了另一个JS源的if语句。只有在引入“var base=”的时候，会指向另一个被黑的网站，上面挂着恶意脚本代码。

被黑的域名用于挂恶意JS

这些被黑的域名数量还是挺多的，这也是这类攻击为何如此盛行的原因。从2015年11月我们这儿有超过4500万受感染的用户。在被黑的网站上，大约发现了7000万独立文件里包含恶意代码。

恶意代码开始时会倒计时10毫秒，这其实是这类注入型代码的常规做法，但通常会延迟的更久。

在此之后开始正式执行，正如你看到的，每行都会有“encodeURIComponent”。这个函数会加密如(, / ? : @ & = + $ #)等特殊字符。

所有声明的变量

IF条件语句（document.write）

最后会检查是否变量包含必要的值，取值后会插入另一个源的脚本。

解密后的URL

这个URL现在就可以用来提升另一个域名的SEO排名了，使用推荐页面和反链会让它更加有效。

2月的攻击活动情况

恶意代码最针对的区域

如果我被入侵了应该做什么

检查自己的机器，有可能感染源会取得你机器的权限，所以请完整扫描你的系统。

扫描你的网站

你可以使用各种方法，比如avast的在线恶意软件扫描器，可以帮助你更好的获取基本信息。

当然，你也可以直接运行杀毒软件，记得在本地扫描时先把所有隐藏文件显示出来。

警告：你需要确保你不会删除系统文件。你得留意各种中毒的症状，以及它们是如何影响你的网站和访问者的。例如，恶意重定向通常都放在网站根目录的文件里，比如.htaccess和index.php。当然，一些针对index.php、header.php、footer.php和functions.php之类的主题文件也可能遭殃。特定的感染点甚至可以是Mysql数据库里，你在文件里压根发现不了。

做好被黑文件和数据库的备份

如果你的文件和数据库还在，请暂时别急着进行检查，先做好备份再说。当然，这里需要将其标记为被黑站点的备份。你也许以后还用的上它们。

登陆不了CMS管理面板怎么办

这样的情况下，可以直接重置密码。如果没有用，那就通过数据管理工具phpMyAdmin和Adminer登入，管理你的数据库，重置你的管理员信息。

总结一下有两种方法：直接把hash密码加入你的数据库，或者点忘记密码邮件找回。

从备份中恢复

如果你有一个确定没被感染的备份包，而且进度还挺新的。那么你可以直接上传所有文件，恢复数据库。当然，你需要删除原有的旧文件，免得其中包含恶意代码片段。

那么如果我没有备份咋办，同样是两个选择：

重新建站。

手动定位，删除恶意代码。

当然，第二个选择会很艰难。即使你是专家，也不能保证肯定能清除干净。你也许得花上好几天时间去检测那些文件，删除黑客在代码里留下的后门。但是如果你错过一点，黑客仍然可以东山再起。

如果还没有被黑客入侵，没有备份自己的网站，你需要马上做这些事情。

主机服务托管商相关

如果你的同服网站被入侵了，你需要向主机托管商请求帮助。通常主机商会开设问答论坛之类的，来优化他们的服务。这些论坛是分享你问题和经验最好的地方。同样，这也是解决问题的好办法，因为可能有不少人也跟你遇到相同的问题。主机商那边会帮你确认到底是黑客事件还是服务缺失。

更新

如果你的网站是干净的，请记得及时更新。旧版本通常比新版本更容易沦陷。

最后，记得在结束一切工作后，定期备份你的数据库和文件，防患于未然。

参考来源：avast，FB小编dawner编译

注：相关网站建设技巧阅读请移步到建站教程频道。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!