Поиск вредоносного скрипта на моем веб-сервере с помощью grep

Получил вредоносный скрипт на моем сайте WordPress, случайно появляющийся и исчезающий
в моем исходном коде как

<script src="www.71wp.org/jquery.min.js></script>

У меня есть специально созданный файл footer.php, и я понял, что скрипт каким-то образом отражается в нижнем колонтитуле, потому что, если я удаляю его из нижнего колонтитула, это единственный скрипт, который у меня есть, тогда вредоносный скрипт больше не будет появляться.

Я использовал это, чтобы найти источник вируса, и пока безуспешно.
находить . -название «.php «-exec grep» base64 «‘{}’ \; -print &> b64-detections.txt
находить . -название «
.php «-exec grep» eval «‘{}’ \; -print &> eval-detections.txt

Кто-нибудь может иметь какие-либо идеи, как я могу найти этот скрипт?

0

Решение

Хё

Я также попробовал с:

eval()
base64_decode()
String.fromCharCode

У меня есть доступ по SSH, если это необходимо

Какие плагины вы использовали. Взлом идет только на мобильной версии

Tks

1

Другие решения

Это именно то, что происходит в вашем случае

https://blog.sucuri.net/2015/05/fake-jquery-scripts-in-nulled-wordpress-pugins.html

Вы должны искать эту функцию по всему WordPress

function wp_func_jquery() {}

Код внутри этой функции различается для разных сайтов, но имя функции остается одинаковым на всех сайтах. Обычно он находится в functions.php, footer.php или в любом файле плагина. В основном это происходит через nulled или пиратские плагины.

1

По вопросам рекламы [email protected]