网站被隐藏的 iframe (q5x.ru) 攻击

我们最近在我们客户的一个网站上遇到了同样的问题。

此问题很可能是由主要针对 FTP 客户端并搜索主机名/用户名/密码组合的病毒感染引起的。找到后，将打开与 FTP 服务器的连接，并搜索 index.* 文件并将 iFrame 添加到其中。

在我们的特殊情况下，我们的客户端是少数可以直接访问 FTP 服务器的客户端之一。我们立即更改了密码，恢复了文件的备份并删除了我们客户的 FTP 访问权限。

您应该采取的步骤：

• 立即更改密码
• 如果您有权访问服务器 FTP 日志，请找出哪些文件已被感染
• 对于受感染的文件，我强烈建议手动恢复这些文件，默认情况下不要使用搜索/替换。在大多数情况下，IFrame 会添加到文件末尾，但我也看到文件被部分删除。

另请注意，如果Google 爬虫在受感染时访问您的网站，它会将您添加到恶意软件列表中，这将严重影响您网站的声誉。如果发生这种情况，请采取以下步骤：

1. 确保该站点不再包含受感染的文件
2. 确保您的网站已通过Google 网站管理员工具验证
3. 使用 Google 网站管理员工具请求新网站审核

以下是一些可能对您有所帮助的提示：

1. 防止此类攻击的第一件事是尽快更改您的 ftp、控制面板和数据库密码。
2. 将服务器中的文件权限更改为最大安全模式。
3. 从服务器下载所有文件并检查感染。清理受感染的文件。
4. 使用优秀的防病毒软件，扫描并清理您用于登录托管服务器的每台 PC。
5. 切勿使用公共计算机访问您的服务器。

如何清理受感染的文件？

使用这些正则表达式搜索包含恶意代码的所有页面并将其替换为空格：

<iframe src=\”http://[^"]*” width=105 height=175 style=\”visibility:hidden;
position:absolute\”></iframe>

echo \”<iframe src=\\\”http://[^"]*\” width=105 height=175 style=\\\”
visibility:hidden; position:absolute\\\”></iframe>\”;

您可能必须编写一个脚本来为服务器中的所有文件自动执行此操作。

资料来源： http ://www.diovo.com/2009/03/hidden-iframe-injection-attacks/

https://stackoverflow.com/questions/990437/iframe-script-attack-to-website

这以前发生在我身上。您需要手动搜索有问题的注入脚本并将其删除。我建议您更改密码并更改数据库和数据库表的名称，以确保

尽管@Aron写道，可能某些客户端病毒已经捕获了您的密码（对于这种特定的攻击，这很可能是正确的），但这些攻击通常会利用服务器软件中未修补的漏洞。就像在 Web 服务器本身、CMS 或phpMyAdmin等工具中一样。

那么：您确定您的服务器上运行的是所有软件的最新版本吗？

（或者 FTP 日志确实显示了一些活动？）