今天早上,我在服务器上托pipe的一些网站开始触发恶意软件警报,并开始将stream量redirect到外部网站。
我发现一行封装的javascript被添加到服务器上的许多js文件中。
这个脚本的function非常简单,但是我想知道的是这个恶意软件是否知名,以及它是如何感染服务器并传播的。
对于这个好奇的Javascript线路来说,
http://pastebin.com/S0iAmRMx
注意:由于粘贴的JavaScript,一些反病毒解决scheme将此链接视为威胁
您有没有机会运行Plesk控制面板? 如果是这样,这可能是他们今年早些时候通知的密码漏洞问题。 如果您的密码被抓取,他们可能刚刚正在使用它们。 检查您的Plesk操作日志是否从一个IPlogin到多个客户端。
感染最可能的原因是SQL注入或跨站点脚本。 你可能已经知道这两者是什么,但以防万一…
XXS或“跨站脚本”是最常见的网站允许用户在没有检查和validation内容的情况下将内容上传到页面(比如在论坛或评论部分或其他内容上),或者对内容进行错误的检查和validation。 因此,一个恶毒的用户上传他的HTML / JS作为评论和下一个人查看评论执行脚本。
SQLi(我敢打赌)是恶意用户发送可执行SQL以及URL或FORM(或cookie)参数的地方。 在某些人使用数字“ID”的情况下,最常见的情况是 – news_Id = 4用于新闻报道 – 而DB则被configuration为多条语句。 粗心的程序员可以直接将URLparameter passing给数据库,而不需要将其限定为数字…所以有人可以把这样的东西放进去:news_id = 4; 更新tableA集标题= …..你明白了。 SQLi攻击可能非常棘手,涉及执行评估的编码格式等。
所以一个“最好的猜测”就是有人有一个不受保护的查询被SQLi打 – 这是把这个JS附加到一些发送到页面的内容。
至于攻击本身。 我已经看到了这样的攻击,但我没有看到这个具体的。 至less可以说很聪明。 这是混淆的域名是非常独特的我见过的漏洞。 仍然 – 这是很多的JavaScript尝试和加载到char列。