我的朋友在 ovh.com 上有一个网站。几天后,该网站被谷歌标记为危险。
我查看了文件(该站点仅包含 html、css、pjg),似乎有一行新代码:
<script>http://...page.php</script></body>
(我不记得确切的网址)已添加到一些 html 页面中。这显然是在显示页面时会运行的病毒。
如果我删除此行并再次扫描文件,这很好。
如何将其添加到服务器上的文件中?有什么办法可以防止这种事情发生吗?(考虑 .htaccess 的东西或其他)。我看不出 ftp 标识符是如何被盗的,所以对我来说,这个代码插入必须来自其他地方。
能否请你帮忙 ?
非常感谢,
卢克
就您正在考虑的术语而言,这可能不是黑客攻击。共享主机通常不是问题......而且不太可能有人猜到您的密码。不知道细节,我敢打赌,在帐户的某个地方,您有一个开源软件,例如 Joomla、phpBB、Wordpress 或类似的。我还敢打赌,这个软件已经有一段时间没有更新了。
这是相当普遍的。黑客找到易受攻击的脚本并在网络上“嗅探”特定版本的代码,他们可以使用这些代码来访问您的网站。几份工作前,一个俄罗斯色情公司通过恶意安装的 phpBB 进入了我公司的网站,一名员工偷偷溜进了服务器。通过这个易受攻击的代码,他们注入了数千个文件,甚至通过创建一个具有所有权限的新“超级管理员”来访问数据库。不用说,清理起来是一团糟。我用于测试目的的帐户也发生了类似的问题:旧版本的 Joomla 允许用户脚本注入看起来像乱码的 javascript,试图通过用户的浏览器安装病毒,并且还导致您在 Chrome 中描述的错误屏幕. 我现在的公司'
那么现在怎么办?首先,将您的网站暂时关闭以保护他人……借此机会更改 db 和 ftp 密码。其次,分析那里有什么......爆破任何未使用的代码,更新开源脚本。确保软件密码没有保留在默认状态,因为黑客知道它们(有没有想过大多数 WiFi 是如何被黑客入侵的?)然后,不那么有趣的部分....挖掘页面以清理注入的代码。查找和替换或 GREP 可以帮助加快这部分的速度....但要小心把它全部拿出来,否则他们可能有办法重新进入。在我的个人网站的情况下,需要 2 次复飞才能完全获得该网站被锁定并清理。好消息是这些攻击中的大多数都是自动化的,因此注入的代码非常明显,并且几乎总是在同一个位置,并且在页面之间使用相似的语法。
最后,分析你自己的代码,看看你是否留下了任何漏洞。登录脚本、fwrites 甚至查询都可以成为注入的目标。小心你敞开心扉。