有人第二次将一段 JavaScript 代码添加到我协助运营的网站上。该 JavaScript 代码劫持了 Google AdSense,插入了自己的帐号,并在网站上到处粘贴广告。
代码始终被附加,始终位于一个特定目录(第三方广告程序使用的目录),影响此广告目录内多个目录(约 20 个)中的多个文件,并大致在夜间同一时间插入。该 adsense 帐户属于一个中国网站(位于一个距离我下个月在中国的城镇不到一小时车程的地方。也许我应该去破头......开玩笑,有点),顺便说一句......以下是该网站的信息:http://serversiders.com/fhr.com.cn
那么,他们怎么能将文本附加到这些文件呢?这是否与文件上设置的权限有关(范围从 755 到 644)?与 Web 服务器用户有关(它在 MediaTemple 上,所以应该是安全的,对吧?)?我的意思是,如果你有一个文件的权限设置为 777,我仍然不能随意向其中添加代码……他们怎么可能做到这一点?
下面是一个实际代码示例,供您欣赏(正如您所见......没有太多内容。真正的技巧在于他们如何将其放入其中):
<script type="text/javascript"><!--
google_ad_client = "pub-5465156513898836";
/* 728x90_as */
google_ad_slot = "4840387765";
google_ad_width = 728;
google_ad_height = 90;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
由于很多人都提到了这一点,下面是我检查过的内容(检查的意思是,我在文件被修改时查看了是否有任何异常,并且我在文件中查找了 POST 语句和目录遍历):
- access_log(除了正常(即过度)的 msn 机器人流量外,当时没有任何内容)
- error_log(除了常见的文件不存在错误之外,没有其他内容)
- ssl_log(仅此而已)
- messages_log(除我之外,没有其他人可以访问 FTP)
*更新:** 好的,解决了。来自中国的黑客在我们的网站上放置了一个文件,允许他们执行各种管理操作(数据库访问、删除和创建文件和目录,随便什么,他们都可以访问)。我们很幸运,他们没有做更具破坏性的事情。正常的 apache 日志文件中没有任何内容,但我在 Web 服务器日志分析器中找到了一组不同的日志文件,证据就在那里。他们使用自己的管理员用户名和密码访问此文件,然后在服务器上编辑他们需要的任何内容。他们的文件将“apache”设置为用户,而我们网站上的所有其他文件都有不同的用户名。现在我需要弄清楚他们是如何将这个文件物理地放到我们的系统中的。我怀疑这最终会归咎于我们的网络主机(Media Temple),除非他们真的有我们的 FTP 登录名……但我不确定我将如何确定这一点,因为这个文件可能已经在那里有一段时间了。
答案1
首先,chmod 744这不是你想要的。 chmod 的目的是撤销对系统上其他帐户的访问权限。 Chmod700比 chmod 安全得多744。但是 Apache 只需要执行位来运行你的 php 应用程序。
chmod 500 -R /your/webroot/
chown www-data:www-data -R /your/webroot/
www-data 是常用的 Apache 账户,用于执行 php。您也可以运行此命令来查看用户账户:
`<?php
print system("whoami");
?>`
FTP 是极度缺乏安全感并且很有可能你被这种方法攻击了。使用 FTP 你可以使文件可写,然后再次感染它们。确保你运行防病毒在所有具有 FTP 访问权限的机器上。有些病毒会嗅探本地流量以获取 FTP 用户名和密码,然后登录并感染文件。如果您关心安全性,则可以使用 SFTP,它可以加密所有内容。通过网络以明文形式发送源代码和密码是完全疯狂的。
另一种可能是您正在使用旧的库或应用程序。请访问软件供应商的网站并确保您运行的是最新版本。
答案2
我的 Media Temple Grid Server 帐户多次被这样“入侵”。他们的安全性非常差……首先是纯文本密码去年,这种情况一直持续到今天(你可以打电话给技术支持,他们会问“你的密码是多少?”)。我知道这一点是因为我每个月都会收到电子邮件,说他们更改了我所有的账户密码,而且每次被黑客入侵后,他们都会进入数据库为你更改密码。这家公司表面上看起来光鲜亮丽,但网格服务器却一团糟。我建议换一家立即地。
请参见这篇帖子来自去年有关最初的惨败(警告,这会让你生气)。从那时起,情况就每况愈下。去年感恩节我远离家人,并从我的网站上删除了色情链接。真好。
跟踪他们的乐趣状态页:它会告诉您有关最新漏洞的所有信息(是的,确实,现在那里有一个“可能的漏洞”)。
答案3
根据访问日志等中缺乏活动以及大致同一时间发生的事实,似乎他们已经破坏了服务器并且正在运行某种 shell 脚本来执行附加操作。
您是否检查过 crontab 是否有任何异常?
您是否尝试过重命名该目录以及对它的引用(这可能会破坏 shell 脚本)?
答案4
这听起来非常熟悉WordPress 黑客最近,大量 Network Solutions 网站都出现了这个问题。由于您使用的是 Media Temple,因此您可能将一些文件留给了与您共享计算机的其他用户。这可以解释为什么没有 POST 或奇怪的 Apache 日志跟踪。如果是这样的话,在命令行上注入代码将非常简单。