我的服务器最近遭到入侵。今天早上,我发现入侵者正在我的每个HTML页面中注入一个iframe。经过测试,我发现他这样做的方法是让Apache(?)替换
的每个实例<body>
通过
<iframe link to malware></iframe></body>
例如,如果我浏览驻留在服务器上的文件,包括:
</body>
</body>
然后我的浏览器会看到一个由以下内容组成的文件:
<iframe link to malware></iframe></body>
<iframe link to malware></iframe></body>
我已立即停止Apache以保护我的访问者,但到目前为止,我还未能找到入侵者在服务器上更改的内容以执行攻击。我认为他已修改了Apache配置文件,但我不知道哪一个。特别是,我通过时间戳查找了最近修改过的文件,但没有找到任何值得注意的东西。
感谢您的帮助。
抟。
PS:我正在从头开始重建一台新服务器,但在此期间,我想保持旧服务器的运行,因为这是一个商业网站。
答案 0 :(得分:2)
我不知道您的受感染服务器的详细信息。虽然这是针对Apache的相当标准的偷渡式攻击,但理想情况下,您可以通过回滚到以前版本的Web内容和服务器配置来解决(如果您有colo,请联系负责备份的技术团队),让我们假设你完全依靠自己,需要自己解决问题。
从StopBadware.org's documentation on the most common drive-by scenarios and resolution cases:拉
恶意脚本
恶意脚本通常用于将网站访问者重定向到 不同的网站和/或从其他来源加载恶意软件。这些 脚本通常会被攻击者注入到您的内容中 网页,或者有时是服务器上的其他文件,例如 图像和PDF。有时,而不是注入整个脚本 在你的网页中,攻击者只会注入一个指向.js的指针 或攻击者保存在Web上的目录中的其他文件 服务器
许多恶意脚本使用混淆来使它们变得更加困难 反病毒扫描程序检测:
某些恶意脚本使用看起来像是来自的名称 合法网站(注意拼写错误的“分析”):
.htaccess重定向
许多托管服务提供商使用的Apache Web服务器使用 名为.htaccess的隐藏服务器文件,用于配置某些访问权限 网站上目录的设置。攻击者有时会 修改Web服务器上的现有.htaccess文件或上传新文件 .htaccess文件到您的Web服务器,包含重定向指令 用户访问其他网站,通常是导致恶意软件下载的网站 欺诈性产品销售。
隐藏的iframe
iframe是从另一个加载内容的网页的一部分 页面或网站。攻击者通常会将恶意iframe注入网络 页面或服务器上的其他文件。通常,这些iframe都是 已配置,以便在有人访问时它们不会显示在网页上 页面,但他们正在加载的恶意内容仍将加载, 隐藏在访客的视线之外。
如何寻找
如果您的网站被Google报告为恶意软件网站,则可以使用 谷歌Webmaster Tools获取有关内容的更多信息 检测。这包括恶意软件所在页面的样本 检测到,并使用实验室功能,甚至可能是坏的样本 在您的网站上找到的代码。某些信息也可以 可在Google Diagnostics页面上找到,可通过替换找到 example.com在以下网址中包含您自己网站的网址: www.google.com/safebrowsing/diagnostic?site=example.com
有几个免费和付费的网站扫描服务 互联网可以帮助您了解您网站上的特定恶意软件。 您还可以在Web服务器和/或上使用工具 从您的网站下载文件的副本以搜索特定的 文本。 StopBadware没有列出或推荐这样的服务,但是 我们online community的志愿者会很高兴为您指点他们 收藏夹。
简而言之,请先使用Google提供的库存标准工具和扫描仪。如果无法以其他方式识别威胁,则需要对CMS的代码,Apache配置,SQL设置以及网站的剩余内容进行反向路径,以确定您遭到入侵的位置以及正确的补救步骤应该是什么。
祝你好运处理问题!