我正在为之工作的客户神秘地最终在他们的网站上发生了一些恶意脚本。我有点困惑,因为该网站是静态的,不是动态生成的 - 没有PHP,Rails等。但是在页面底部,有人打开了一个新标签和一个脚本。当我在网络服务器上打开文件并删除恶意内容并重新上传时,它仍然存在。这怎么可能?更重要的是,我该如何解决这个问题?
编辑: 为了使它更奇怪,我只是注意到,如果页面直接以“domain.com/index.html”访问,而不仅仅是“domain.com”,则脚本只显示在源代码中。
EDIT2: 无论如何,我发现一些php文件(x76x09.php)坐在Web服务器上,尽管我试图剥离它的脚本,但它必须更新html文件。我目前处于明确状态但我必须做一些工作以确保流氓文件不会再次出现并导致问题。如果有人对此有任何建议,请随时发表评论,否则感谢大家的帮助!非常感谢!
答案 0 :(得分:3)
除非有人访问您的文件,否则不可能。因此,在您的情况下,有人可以访问您的文件。
编辑:最好是在serverfault.com询问服务器遭到入侵时该怎么做,但是:
通过使用与静态文件一起使用的软件组件的漏洞,通过http更改的文件也具有很高的可支持性。
答案 1 :(得分:3)
对于没有在服务器上执行页面的站点,使用基于DOM的攻击绝对可以使用XSS。通常,这将涉及向页面输出内容的JavaScript执行。就在上周WhiteHat Security had an XSS vulnerability identified on a purely “static” page。
攻击向量很可能与文件级访问有关,但我建议看看JS的用途是否值得。
答案 2 :(得分:0)
你应该和你的托管公司谈谈这件事。另外,请检查您的文件权限是否比您的特定环境更宽松。
答案 3 :(得分:0)
之前发生过这种情况 - 如果他们获得了您的ftp详细信息,就会发生这种情况。所以,无论谁做到了,显然都会以某种方式获得你的ftp细节。
最好的办法是更改密码,并与您的网站托管公司联系,以找出更好的解决方案。
不幸的是,FTP并不是最安全的......