我的托管服务提供商上出现了感染 JavaScript 文件的恶意软件。我该如何找到入口点?

我的托管服务提供商上出现了感染 JavaScript 文件的恶意软件。我该如何找到入口点?

今天早上,一些托管在我服务器上的网站开始触发恶意软件警报,并开始将流量重定向到外部网站。

我发现服务器的许多 js 文件中都添加了一行打包的 javascript。

该脚本的作用非常简单,但我想知道的是这种恶意软件是否众所周知以及它如何感染服务器并传播。

对于那些好奇的人来说,下面是有问题的 Javascript 行:

http://pastebin.com/S0iAmRMx

注意:由于粘贴的 JavaScript,某些防病毒解决方案会将此链接视为威胁

答案1

您是否正在运行 Plesk 控制面板?如果是这样,这可能是他们今年早些时候通知的密码漏洞问题。如果您的密码被窃取,他们可能现在正在使用它们。检查您的 Plesk 操作日志,查看从单个 IP 登录多个客户端的情况。

答案2

最有可能的感染原因是 SQL 注入或跨站点脚本。您可能已经知道这两者是什么,但以防万一……

XXS 或“跨站点脚本”最常见的情况是,网站允许用户将内容上传到页面(例如论坛或评论区等),而无需检查和验证内容 - 或者可能没有很好地检查和验证内容。因此,恶意用户将其 HTML/JS 上传为评论,下一个查看评论的人会执行该脚本。

SQLi(我敢打赌)是指恶意用户发送可执行 SQL 以及 URL 或 FORM(或 cookie)参数。最常见的情况是有人使用数字“id” - 比如新闻报道的 ?news_Id=4 - 并且数据库配置了多个语句。粗心的程序员允许 URL 参数直接传递给数据库而不将其限定为数字...因此有人可以输入类似 ?news_id=4; update tableA set title=..... 的内容,你明白了。SQLi 攻击可能非常棘手,涉及执行评估的编码十六进制等。

因此,“最佳猜测”是某人有一个不受保护的查询,该查询正受到 SQLi 的影响 - 并且会将此 JS 附加到发布到页面的某些内容中。

至于漏洞本身。我见过类似的漏洞,但我没见过这个。至少可以说它非常聪明。它对域名的混淆与我见过的漏洞相比非常独特。不过,它需要大量的 JavaScript 才能尝试加载到 char 列中。

相关内容