我工作的一个网站最近被黑客入侵,页面中发现了一些恶意的 php 代码。即使尝试下载代码,MSE 也会将其标记为木马。我已删除 php 并更改了 ftp/shell 密码。Google 网站管理员工具报告了几个页面上的恶意代码,其中一些带有以下参数:
?publisher=localcom_rbl&placement=octane360
我用谷歌搜索过这个,在很多网站上都找到过,但我不知道这是什么意思。这肯定不是我的。
这是否指向了某个罪魁祸首?我是否应该采取进一步措施来保护网站?除了 php 代码之外,他们是否还留下了其他东西?
答案1
我以前没有见过这种情况,所以这是基于间接证据的推测 - 但我怀疑,在不知道木马名称和进一步详细信息(例如与这些 URL 调用关联的 IP 地址)的情况下,我们所能得到的推测就差不多了。
看起来这和“local.com”以及他们旗下的一家名为 Octane 360 的广告“解决方案提供商”有关。(见这里)。我猜这家广告公司正在提供恶意软件。它是否正在提供恶意软件并使用您的计算机来帮助(如果您删除的脚本处理这些参数并且访问它的 IP 来自更广泛的互联网,则可能是这种情况),或者 Google 或其他机器人是否正在检查网站是否存在恶意软件并以此为线索帮助您追查原因(在这种情况下,日志中的 referer 行可能会为您提供线索),无法根据手头的信息确定。
无法确定他们是否留下了什么东西——您确实需要弄清楚他们是如何将代码注入您的网站并消除该向量的。根据向量,您需要考虑他们可能造成的损害有多大,以及他们到底可以修改什么,然后检查这些。
由于 RBL 已发出警告,您应该对照多 RBL 检查表检查您的 IP 地址和域名,看其是否被列入黑名单,如果被列入,则采取措施将其“取消列出”。如果 RBL 提供更多信息,这也可以提供有关该网站如何被入侵的有用提示。
实际上,除非您有足够的知识来追踪他们做了什么以及他们是如何做到的,否则您应该请专业人士来帮忙——没有人可以在不了解您的特定环境和情况的情况下为您提供答案。
答案2
我发现此代码与在各个网站上运行的 WPForms 软件相连,并且正在向他们核实更多信息。