网站攻击与隐藏的iframe（q5x.ru）

我们最近在我们客户的网站上遇到了同样的问题。

这个问题很可能是由主要针对FTP客户端的病毒感染和search主机名/用户名/密码组合引起的。 一旦find，就会打开FTP服务器的连接，并searchindex。*文件并添加iFrame。

在我们的特殊情况下，我们的客户是less数可以直接访问FTP服务器的客户之一。 我们立即改变了密码，恢复了文件的备份，并删除了我们的客户端的FTP访问。

你应该采取的步骤：

• 立即更改您的密码
• 如果您有权访问服务器FTP日志，请查明哪些文件已被感染
• 对于受感染的文件，我强烈build议手动恢复这些文件，而不是默认使用search/replace。 在大多数情况下，IFrames被添加到文件的末尾，但我也看到文件被部分删除。

另外请注意，如果Google抓取工具在受到感染时访问您的网站，则会将您添加到恶意软件列表中 ，这将严重影响您网站的声誉。 如果发生这种情况，请采取以下步骤 ：

1. 确保该网站不包含更多受感染的文件
2. 确保您的网站已通过Google网站pipe理员工具进行validation
3. 使用Google网站pipe理员工具请求新的网站审核

这里有一些提示可以帮助你：

1. 防止这种攻击的第一件事就是尽快更改你的ftp，控制面板和数据库密码。
2. 将服务器中的文件权限更改为最大安全模式。
3. 从服务器下载所有文件，并检查感染。 清理受感染的文件。
4. 使用一个好的防病毒软件，扫描并清理您用于login到托pipe服务器的每台PC。
5. 切勿使用公用电脑访问您的服务器。

如何清理受感染的文件？

使用这些正则expression式search包含恶意代码的所有页面，并将其replace为空格：

 <iframe src=\”http://[^"]*” width=105 height=175 style=\”visibility:hidden; position:absolute\”></iframe> echo \”<iframe src=\\\”http://[^"]*\” width=105 height=175 style=\\\” visibility:hidden; position:absolute\\\”></iframe>\”; 

您可能必须编写一个脚本来自动化服务器中的所有文件。

资料来源： http : //www.diovo.com/2009/03/hidden-iframe-injection-attacks/

https://stackoverflow.com/questions/990437/iframe-script-attack-to-website

这发生在我之前。 您需要手动search违规注入脚本并将其删除。 我build议你改变你的密码，并改变你的数据库和数据库表的名字，以确保

虽然@Aron 写道 ，可能有一些客户端病毒已经捕获了您的密码（对于这种特定的攻击，这可能是正确的），但这类攻击通常会利用服务器软件中未修复的漏洞。 就像在Web服务器本身，在CMS中，或者在诸如phpMyAdmin之类的工具中一样。

所以：你确定你正在运行服务器上所有软件的最新版本？

（或者FTP日志确实显示一些活动？）