代码注入，某种黑客攻击？

Question

首先要做的事情是立即检查到底collegefun4u是怎么回事。

以安全的方式请求网站并解压其背后的 JS 代码，我们得到：

www.collegefun4u.com/ benign
[nothing detected] www.collegefun4u.com/
     status: (referer=http:/twitter.com/trends/) saved 1205 bytes 3667a08e039642842c11744f464163baa186e4da
     info: [decodingLevel=0] found JavaScript
     error: undefined variable s
     info: [1] no JavaScript
     file: 3667a08e039642842c11744f464163baa186e4da: 1205 bytes
     file: f9e4048e7e87436e12343dbcd9d467a31f0c972e: 93 bytes

Decoded Files
3667/a08e039642842c11744f464163baa186e4da from www.collegefun4u.com/ (1205 bytes, 17 hidden)

<html>
<head>
<title>Top 3 Webhosting</title>
<meta content="text/html; charset=iso-8859-1" http-equiv='Content-Type'>
<body>
<script> </script>
<table border='0' cellspacing='0' cellpadding='0' width='960' height="100%">
<tbody>
<tr>
    <td>
        <a target="_self" href="http://rover.ebay.com/rover/1/711-53200-19255-0/1?icep_ff3=1&pub=5574678674&toolid=10001&campid=5335950793&customid=&ipn=psmain&icep_vectorid=229466&kwid=902099&mtid=824&kw=lg">Shopping In Ebay For The Cheapest</a>
    </td>
    <td>
        <a href="http://stats.justhost.com/track?c998ec72c307330822d1608c2d6651a1f">JustHost</a>
    </td>
    <td>
        <a href="http://secure.hostgator.com/~affiliat/cgi-bin/affiliates/clickthru.cgi?id=hydmedia-">Hostgator</a>
    </td>
</tr>
</tbody>
</table>
</body>
<script type="text/javascript">    var _gaq = _gaq || [];   _gaq.push(['_setAccount', 'UA-33569939-1']);   _gaq.push(['_trackPageview']);    (function() {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);   })();  </script>
</html>

f9e4/048e7e87436e12343dbcd9d467a31f0c972e from www.collegefun4u.com/ (93 bytes)

//jsunpack.called CreateElement script  //jsunpack.url http://www.google-analytics.com/ga.js

_{请注意，我美化了 HTML 以便于阅读。}

正如您所见，它至少不会试图以任何方式伤害您的用户，而只是插入一些 Webhosting（从标题中得知）垃圾邮件，表格中的三个链接横跨整个屏幕。还应注意，他们正在通过 Google Analytics 分析您的流量。

在网上进一步查找后，我发现了一个类似原因似乎和你有同样的问题。稍后，对他的页面的请求会在collegefun4u网站中加载。URL Query 非常聪明，它会告诉我们检测到 BlackHole 漏洞攻击包 HTTP GET 请求。

确切地说，BlackHole 漏洞利用工具包最近越来越出名，用于修改服务器上的文件。它们只是利用各种类型的服务器软件中的零日漏洞来修改文件，以便发送垃圾邮件或感染许多客户端。

这个故事的底线有三点：

跟踪服务器及其软件的版本，并确保一切是更新，它从 Apache / IIS 到 Plesk 到您的框架到 PHPMyAdmin 等等。
确保您配置了面向互联网的任何内容以使其无法写入您的磁盘，这主要意味着正确配置 Plesk / PHP / 文件权限。
如果这种情况持续发生，请确保记录文件访问，以便了解哪个进程正在执行此操作。在 Windows 上，您有进程监控为此，请将其设置为按.html和/或.js文件进行过滤，这样您就不会用所有访问填充页面文件。这可能会让您学到更多...

Answer 1