我意识到有人成功入侵了我的 drupal 安装,并成功修改了我的文件,并注入了 JavaScript 代码
被黑客入侵的文件是:jquery-1.9.1.min.js,这是我之前下载的通用 javascript 库文件(干净,没有黑客代码)
我现在清理了文件但是我想知道这个人是怎么进来的?
还有另一件非常奇怪的事情,尽管代码是最近才添加到文件中的,但文件的最后修改日期多年来一直保持不变,有人是否可以入侵该网站,然后更改最后修改日期以掩盖他们的踪迹?
我的问题很简单,我应该从哪里开始寻找线索来发现安全漏洞?
答案1
我最好的猜测是通过易受攻击的 Drupal 版本或易受攻击的插件/自己的代码。
如果这是您自己的服务器,请将其从网络上移除,以防止进一步的损害。
如果不是您自己的服务器而是共享主机,问题可能仅限于您自己的帐户。请联系服务提供商确认,以检查这是否是更广泛的问题。
- 为防万一,请更改密码。查看是否没有添加 SSH 公钥。
- 从没有此问题的备份中恢复您的网站。这可能不是攻击者所做的唯一修改,但也可能安装了一些后门。
- 更新 Drupal 及其所有插件。删除不必要的插件也是个好办法。
检查日志中是否有任何异常。这可能有助于将问题限制在某个插件/页面上。
将恢复和升级的网站上线后,请定期检查该文件不会再次出现。
文件的时间戳不一定是它写入此服务器的时间。根据文件的上传方式,它可能保留了原始时间戳,该时间戳可能在上传前被手动修改,以使其在所有文件中更难找到。