今天早上,一些托管在服务器上的网站开始触发恶意软件警报,并开始将流量重定向到外部网站。
我发现服务器上的许多 js 文件中添加了一行打包的 javascript。
该脚本的作用非常简单,但我想知道的是该恶意软件是否广为人知,以及它如何感染服务器并传播。
出于好奇,这里是有问题的 Javascript 行:
注意:由于粘贴的 JavaScript,一些反病毒解决方案将此链接捕获为威胁
AskOverflow.Dev
今天早上,一些托管在服务器上的网站开始触发恶意软件警报,并开始将流量重定向到外部网站。
我发现服务器上的许多 js 文件中添加了一行打包的 javascript。
该脚本的作用非常简单,但我想知道的是该恶意软件是否广为人知,以及它如何感染服务器并传播。
出于好奇,这里是有问题的 Javascript 行:
注意:由于粘贴的 JavaScript,一些反病毒解决方案将此链接捕获为威胁
您是否正在运行 Plesk 控制面板?如果是这样,这可能是他们今年早些时候通知的密码漏洞问题。如果您的密码被盗,他们可能正在使用它们。检查您的 Plesk Action 日志以了解从单个 IP 登录到多个客户端。
最可能的感染原因是 SQL 注入或跨站点脚本。您可能已经知道这两者是什么,但以防万一...
XXS 或“跨站点脚本”最常见于站点允许用户将内容上传到页面(比如在论坛或评论部分或其他任何地方)而不检查和验证内容 - 或者可能检查和验证内容不佳的情况。因此,恶意用户将他的 HTML / JS 作为评论上传,下一个查看评论的人会执行脚本。
SQLi(我敢打赌这个)是恶意用户发送可执行 SQL 以及 URL 或 FORM(或 cookie)参数的地方。最常见的情况是有人使用数字“ids”——比如 ?news_Id=4 用于新闻报道——并且数据库配置为用于多个语句。粗心的程序员允许 URL 参数直接传递给数据库而不将其限定为数字......所以有人可以输入类似 ?news_id=4; 的内容。update tableA set title=..... 你明白了。SQLi 攻击可能非常棘手,涉及执行已评估的编码十六进制等。
因此,“最佳猜测”是某人有一个不受保护的查询,该查询正在被 SQLi 命中 - 并且将此 JS 附加到发布到页面的某些内容。
至于利用本身。我见过类似的漏洞,但我还没有看到这个具体的漏洞。至少可以说这是非常聪明的。它对域名的混淆对于我所见过的攻击来说是非常独特的。仍然 - 尝试将大量 JavaScript 加载到 char 列中。