所以,我有一个网站在两周内遭到了两次妥协。 每个index.php和.js文件都得到一个脚本,注入到文件的源代码中。 问题是我不知道他们是怎么做的。 我以前看过这个通过SQL注入完成,但我不知道他们是如何写入文件。 我已经通过Apache日志挖掘,但没有发现任何有趣的事情。 该网站是在godaddy共享服务器上使用cakephp框架构build的。
有人知道什么样的设置或日志文件来检查,看看他们是如何做到这一点?
基于注入的文件,并将其托pipe在GoDaddy上,我将在Sucuri.net的博客文章中看到GoDaddy的共享服务器在过去一个月内继续感染网站。
我会从这里开始: http : //blog.sucuri.net/tag/godaddy
-Josh
这不是sql注入。 这是一个蠕虫,在一个自定义的网站上获得这个蠕虫级别的访问是不现实的。 我知道这一点,因为我写的蠕虫用来传播的攻击 ,而且我告诉你它在MySQL下的SQL注入不是(MS-SQL是一个不同的故事,攻击者有xp_cmdshell())。
使用w3af(免费)和Wapiti(免费),Acunetix($)或最好的工具NTOSpider($$$)来扫描网站的漏洞越less。
首先,我会确保你所有的库都是最新的。 任何使用FTP访问的机器都必须使用防病毒软件进行扫描。 我知道GoDaddy只有FTP访问,因为他们显然不关心安全性。 有蠕虫嗅探FTPlogin,然后感染网站,这些是非常成功的蠕虫,因为像GoDaddy这样的白痴。 如果你不想花钱购买,那么在你的本地系统上运行AVG比没有好。
通常当你被感染时,Google会抛出一个浏览器警告,他们会告诉你这个蠕虫的名字。 如果你经常search某个人的名字,那么这个名字会告诉你它是如何传播的。
更改您的数据库的凭据,并在您的app / config / core.php中ftplogin并更新安全salt等。
尽pipeFabian说,如果你在一个共享的服务器上,你也受到所有人的支配。 尽可能多地做,让GoDaddy也知道。
你也可以编写一个助手,专门查找这个代码,并在执行时从你的文件中去除它。