所以,我的网站在两周内被攻破了两次。每个 index.php 和 .js 文件都会有一个脚本注入到文件的源代码中。问题是我不知道他们是怎么做到的。我以前见过通过 sql 注入来实现这一点,但我不知道他们实际上是如何写入文件的。我翻遍了 Apache 日志,但没有发现任何有趣的东西。该网站是使用 cakephp 框架在 godaddy 共享服务器上构建的。
有人知道要检查哪些安全设置或日志文件来了解他们是如何做到的吗?
答案1
根据注入的文件及其托管在 GoDaddy 上的情况,我会查看 Sucuri.net 的博客文章,其中介绍了过去一个月 GoDaddy 共享服务器上网站持续感染的情况。
我会从这里开始: http://blog.sucuri.net/tag/godaddy
-乔希
答案2
这不是 SQL 注入。这是蠕虫,在自定义网站上使用蠕虫获得这种级别的访问权限是不现实的。我知道这一点,因为我编写漏洞蠕虫用它来传播,我告诉你这绝对不是 MySQL 下的 SQL 注入(MS-SQL 是另一回事,攻击者有 xp_cmdshell())。
尽管如此,您仍然应该使用 w3af(免费)和 Wapiti(免费),或 Acunetix($),或最好的工具 NTOSpider($$$)扫描您的网站以查找漏洞。
首先,我要确保你所有的库都是最新的。任何具有 FTP 访问权限的机器都必须用防病毒软件进行扫描。我知道 GoDaddy 只有 FTP 访问权限,因为他们显然不关心安全性。有些蠕虫会嗅探 FTP 登录信息,然后感染网站,这些蠕虫非常成功,因为 GoDaddy 这样的白痴。如果你不想花钱,在本地系统上运行 AVG 总比什么都没有好。
通常,当您被感染时,Google 会发出浏览器警告,并告诉您蠕虫的名称。如果您搜索该名称,通常有人已经做过分析,这会告诉您该蠕虫是如何传播的。
答案3
更改数据库的凭据和 ftp 登录,并在 app/config/core.php 中更新安全盐等。
尽管 Fabian 说过,如果你在共享服务器上,你也会受到其他人代码的支配。尽可能多地做,并让 GoDaddy 也知道这一点。
您还可以编写一个辅助程序,专门查找此代码并在执行时将其从您的文件中删除。