当前位置: 首页 > linux, 系统安全 > 正文

chrome 浏览器提示网站包含恶意软件该如何处理?

[摘要] 今天一个朋友找到我说他们的网站打不开了,让我帮忙看看啥原因?简单试了了用 chrome 和 firefox 浏览器访问都是提示该站点包含恶意软件,简单询问了一下该站点原来是使用dececms建站,所以初步怀疑是dececms的某个已知漏洞导致站点被挂马,然后被google的chrome和firefox列入了黑名单。

先看看chrome浏览器的提示:

要来了站点的ssh权限,登上去看了一下,还真是挺神奇的,几乎所有的文件的最后都被加上了一段js代码,大概内容如下:

<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"

grep DropFileName *.htm
匹配到二进制文件 ./templets/story_books.htm

grep一下关键字所有文件都变成了二进制文件(有需要恶意代码样本的可以联系我哟~):
本想收工改下,无奈文件太多了,一个一个文件删除要花费太长时间,于是使用了sed进行批量操作:

#删除 DropFileName = "svchost.exe" 之后的所有行
for i in `grep -r DropFileName *|awk -F\: '{print $1}'`;do ls $i;sed -i '/^DropFileName/,$d' $i;done 

#删除字符串: <SCRIPT Language=VBScript><\!\-\-
for i in `grep -r "SCRIPT Language=VBScript" * | awk -F\: '{print $1}'`;do ls $i;sed -i 's/<SCRIPT Language=VBScript><!--//g' $i;done

再次grep验证下,整个发布目录已经没有了附加的js文件,顺便看了看是否有其他的可以文件,比如一句话木马文件等。

虽然暂时清理掉了可以的代码,但是网站还是提示包含恶意软件,应该是被列入了黑名单中,只能申请解封了。
于是根据firefox浏览器的提示,找到指定的链接,基本都是天朝404的站点,所以需要梯子才能正常访问,关键有个reCAPTCHA图片没梯子看不到。访问地址:https://www.stopbadware.org/review-search?url=http://some-badware-site
按照提示一步步提交即可。
(1)输入要查询的站点,发现确实再黑名单中:

(2)提交搜索

(3)提交成功

(4)发送提示邮件

另外根据chrome浏览的提示可以找到这个链接:
https://safebrowsing.google.com/safebrowsing/report_error/?hl=en,提交你的域名等待就可以了。

大概也就半个小时,chrome已经放开了,站点恢复正常访问,firefox仍提示不安全,估计还要再等几个小时才能完全恢复。以上暂时告一段落,不过为啥所有文件会被注入了恶意js文件呢?

据了解这个dedecms并不是从官网下载,而且为了图方便,随便在网上找了一个模板改改就使用了,看了最原始的下载zip包,所有文件已经是包含了这个小尾巴,只是当时没有注意而已。看看网络安全是多么重要啊,要随时提高警惕,不能轻易从乱七八糟的站点下载东西,一些下载站基本没有对资源安全性的审核能力,更有甚者已经沦为了恶意软件的温床!

本文固定链接: https://sudops.com/chrome-browser-say-your-site-is-badware.html | 运维速度

该日志由 u2 于2017年12月07日发表在 linux, 系统安全 分类下,
原创文章转载请注明: chrome 浏览器提示网站包含恶意软件该如何处理? | 运维速度
关键字: , , ,

报歉!评论已关闭.