受 iframe 注入感染的 Web 服务器

我的 Web 服务器已被不明原因严重感染。服务器上托管的任何网站的每个页面都会被 iframe 脚本注入。

• 第 1 天：我们的 Web 服务器软件是 Apache。在确信没有修改任何 Web 脚本后，我们查看了这篇文章 (https://blog.sucuri.net/2013/01/server-side-iframe-injections-via-apache-modules-and-sshd-backdoor.html) 表示 Apache 模块可能受到威胁，因此所有 TCP 数据包在发送到 Web 浏览器之前都会被修改。

• 第二天：我们用 Nginx 替换了 Apache。它运行了一天，没有任何问题。

• 第 3 天：我们的客户向我们告知了同样的问题，并且 Google Chrome 向服务器上托管的所有网站发出了“站点不安全”的警告消息。

无奈之下，我们备份了所有东西，更换了硬盘，装了全新的操作系统（FreeBSD 10.2，之前是 FreeBSD 8.4）。在裸机操作系统和新的 Nginx 服务器上，我们测试了对服务器的请求，请求仍然会感染 iframe。

我们运行了最新的 clamav、rkhunter，但没有发现任何东西。