1. Trang chủ
  2. Câu hỏi và trả lời
  3. Phần mềm độc hại trên trang web của khách hàng - Ý tưởng?

Phần mềm độc hại trên trang web của khách hàng - Ý tưởng?

2010-05-25 33 views
6

Gần đây, chúng tôi đã nhận được cuộc gọi từ một trong những khách hàng của chúng tôi, phàn nàn rằng trang web của họ có một số "mã tìm kiếm lạ" ở cuối trang. Chúng tôi đã kiểm tra mã nguồn và phát hiện ra rằng khoảng 800 byte mã javascript độc hại đã được thêm vào tệp templates/master, sau thẻ </html>. Tôi sẽ không đăng mã nói vì nó trông đặc biệt khó chịu.Phần mềm độc hại trên trang web của khách hàng - Ý tưởng?

Theo như tôi có thể nói, sẽ không có cách nào để tệp này được chỉnh sửa theo bất kỳ cách nào, trừ khi ai đó có quyền truy cập trực tiếp vào máy chủ và/hoặc chi tiết đăng nhập FTP. Bản thân tệp thực sự đã được sửa đổi, để các quy tắc ra bất kỳ loại tấn công SQL nào. Bên cạnh một người có được bằng chứng xác thực và tự tay sửa đổi tập tin này, liệu có giải thích hợp lý nào khác về những gì đã xảy ra không? Có ai khác có kinh nghiệm với một cái gì đó như thế này xảy ra?

Nguồn

2010-05-25 Jeriko

Trả lời

7

Những nơi tôi muốn kiểm tra là:

  • lần sửa đổi File (để xem khi nó xảy ra)
  • các bản ghi máy chủ HTTP cho dấu hiệu params GET funny-tìm kiếm (ví dụ, ?foo=exec('...'))
  • FTP server log
  • SSH bản ghi (một cái gì đó tương tự xảy ra với tôi một lần, và đó là vì một người nào đó đã đưa ra mật khẩu của họ)

Ngoài ra, tôi sẽ ngay lập tức hạn chế quyền truy cập ghi vào tất cả các tệp của trang web, chỉ để an toàn khỏi các cuộc tấn công tương tự (tất nhiên, vectơ vẫn mở, nhưng nó tốt hơn là không có gì).

Nguồn

2010-05-25 14:12:53

3

Nếu kẻ tấn công không có quyền truy cập tệp khác, có khả năng là có một khai thác trong mã ở đâu đó cho phép người dùng thực thi mã tùy ý. Sử dụng passthru(), exec() và eval() là những vấn đề phổ biến ở đây. Nếu có FTP chạy trên cùng một máy, thì đó cũng là một vectơ tấn công mạnh.

Tôi không chắc chắn rằng tôi sẽ loại trừ một cách rõ ràng một cuộc tấn công SQL (đặc biệt là một phản ánh kết hợp với các khai thác ở trên), nhưng nó không rõ ràng rằng nó sẽ là một, một trong hai.

Đối với câu hỏi của bạn, nó có thể được nhắm mục tiêu tự động hoặc cá nhân, thật khó để nói với mức độ chi tiết nhất định. Như những người khác đã nói, hãy chuyển càng nhiều mật khẩu càng tốt, hạn chế quyền truy cập vào máy chủ và sau đó bắt đầu kiểm tra nhật ký để xem mọi thứ đã xảy ra ở đâu. Điều đó sẽ thành công hơn là tách rời bản thân ứng dụng.

Nguồn

2010-05-25 14:05:55

+3

Tùy chọn phổ biến khác là máy tính đang chạy ứng dụng khách FTP đã bị xâm nhập và thông tin đăng nhập bị đánh hơi. – Quentin

+0

Lý do tôi nói không có SQL là vì tệp vật lý đã được sửa đổi. Nó sẽ yêu cầu kẻ tấn công đoán vị trí của các tệp mẫu của chúng tôi (được cấp, không đặc biệt tối nghĩa). Đây có phải là một loại tấn công tự động, hoặc nó có khả năng được nhắm mục tiêu cá nhân nhất? – Jeriko

1

Thông tin gần như chắc chắn bị xâm phạm cho phép ai đó thay đổi mã từ xa. Máy chủ có nằm trên trang web không?

Nguồn

2010-05-25 14:09:01 Laplace

+0

Không, địa lý cách chúng tôi khoảng 50km. Điều này xảy ra trên hai trong ba tên miền phụ cho miền của khách hàng này. Tôi đoán mối quan tâm chính của tôi là liệu có nên thay đổi mật khẩu FTP hay hoàn toàn tách trang web ra ngoài kiểm tra nó .. – Jeriko

+1

Tại sao không làm cả hai? Thay đổi mật khẩu và hạn chế quyền truy cập càng xa càng tốt, sau đó tìm cách giải quyết những gì đã xảy ra. –

+0

Nếu ftp được sở hữu một lần thì nhiều khả năng thay đổi mật khẩu sẽ không làm cho tin tặc của bạn trở nên bất tiện hơn bất tiện. Xem câu trả lời của tôi, xóa FTP và sử dụng SFTP – Cruachan

3

Bạn không chỉ định, nhưng nếu bạn không nên sử dụng FTP trên máy chủ sản xuất vì nó không an toàn (trong số những thứ khác, nó truyền thông tin đăng nhập vào văn bản rõ ràng, khiến bạn dễ dàng bị tấn công đánh hơi). Luôn sử dụng SFTP.

Nếu bạn đang sử dụng đồng bằng FTP, rất có thể là vectơ tấn công, đặc biệt là sửa đổi tệp là tất cả những gì xảy ra. Nếu máy của bạn đã bị xuyên thủng hoàn toàn, tôi đã trông đợi nhiều hơn thế.

Nguồn

2010-05-25 14:20:23 Cruachan

1

Đây là cách tôi xem. Sử dụng chương trình FTP? Các tệp nhật ký ftp của bạn lưu trữ mật khẩu, đường dẫn vv .. được lấy. Các mật khẩu được giải mã.

Cố gắng không lưu trữ mật khẩu FTP trong ứng dụng khách FTP. Hoặc làm như trên, sử dụng SFTP. Chúng tôi gặp sự cố tương tự và dường như đến từ một máy tính có một bộ đăng nhập FTP. Cũng như máy tính này có nhiều vấn đề kỳ lạ trước đó với nó. Javascript sẽ không hoạt động đúng, thời gian chờ phiên lẻ hoặc đơn giản là bị xóa. Mà cho tôi chỉ ra máy tính này đã có một cái gì đó trên đó.

Nguồn

2011-06-06 22:38:09 Neotropic

0

Đảm bảo tìm và xóa mọi tệp đáng ngờ trong trang web của bạn. Nếu họ có quyền truy cập vào FTP, rất có thể họ đã để lại một tập lệnh backdoor ở đâu đó sẽ cho phép họ tải lên/sửa đổi tệp trên trang web của bạn qua một URL cụ thể ngay cả sau khi bạn thay đổi mật khẩu FTP hoặc chuyển sang sử dụng SFTP.

Hãy thử chạy tập lệnh được tìm thấy here nếu bạn đang sử dụng PHP.

Nguồn

2013-06-21 21:09:37 TrialAndMoreError

0

Để phát hiện mã độc hại hiện tại, tôi khuyên bạn nên sử dụng công cụ quét chống phần mềm độc hại tốt trên máy chủ để phát hiện mã độc hại trên các tệp của trang web. Nhiều lần, máy chủ không dễ bị tấn công, nhưng trang web là! Để ngăn chặn điều này, hãy sử dụng một Web Application Firewall có thể xem xét mọi yêu cầu phát hiện và chặn một nỗ lực tấn công.

Nguồn

2014-02-01 12:37:55 user2538743

Các vấn đề liên quan

 Các vấn đề liên quan