主页 / server / 问题 / 416418
Accepted
user44650
Asked: 2012-08-10 05:18:59 +0800 CST

代码注入,某种破解?

  • 772

似乎有什么东西侵入了网络服务器,或者我们正在运行某种半恶意代码,不断向我们的网站注入代码。它似乎只影响几个 coldfusion 和 html 文件。我们运行了 malwarebytes、spybot 和 AVG 防病毒软件,并删除了它们找到的所有条目,尽管数量不多。我正在研究和安装一些入侵检测软件(如 Snort 或 OSSEC),看看这是否能帮助我找到罪魁祸首,但我想知道是否有人见过这样的事情或知道恶意代码可能在哪里隐藏。

它似乎注入了以下代码:

<iframe scrolling="no" frameborder="0" src="http://www.collegefun4u.com/" width="0" height="0"></iframe>

每晚在完全随机的时间放入几个文件。

这是在运行 Coldfusion MX7 的 Windows 2003 服务器上。当这些文件被更改时,日志/事件查看器中不会出现任何内容。

html

1 个回答

  1. Best Answer

    要做的第一件事是立即检查collegefun4u所有内容。

    以安全的方式请求站点并解压缩其背后的 JS 代码,我们得到

    www.collegefun4u.com/ benign
[nothing detected] www.collegefun4u.com/
     status: (referer=http:/twitter.com/trends/) saved 1205 bytes 3667a08e039642842c11744f464163baa186e4da
     info: [decodingLevel=0] found JavaScript
     error: undefined variable s
     info: [1] no JavaScript
     file: 3667a08e039642842c11744f464163baa186e4da: 1205 bytes
     file: f9e4048e7e87436e12343dbcd9d467a31f0c972e: 93 bytes

Decoded Files
3667/a08e039642842c11744f464163baa186e4da from www.collegefun4u.com/ (1205 bytes, 17 hidden)

<html>
<head>
<title>Top 3 Webhosting</title>
<meta content="text/html; charset=iso-8859-1" http-equiv='Content-Type'>
<body>
<script> </script>
<table border='0' cellspacing='0' cellpadding='0' width='960' height="100%">
<tbody>
<tr>
    <td>
        <a target="_self" href="http://rover.ebay.com/rover/1/711-53200-19255-0/1?icep_ff3=1&pub=5574678674&toolid=10001&campid=5335950793&customid=&ipn=psmain&icep_vectorid=229466&kwid=902099&mtid=824&kw=lg">Shopping In Ebay For The Cheapest</a>
    </td>
    <td>
        <a href="http://stats.justhost.com/track?c998ec72c307330822d1608c2d6651a1f">JustHost</a>
    </td>
    <td>
        <a href="http://secure.hostgator.com/~affiliat/cgi-bin/affiliates/clickthru.cgi?id=hydmedia-">Hostgator</a>
    </td>
</tr>
</tbody>
</table>
</body>
<script type="text/javascript">    var _gaq = _gaq || [];   _gaq.push(['_setAccount', 'UA-33569939-1']);   _gaq.push(['_trackPageview']);    (function() {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);   })();  </script>
</html>

f9e4/048e7e87436e12343dbcd9d467a31f0c972e from www.collegefun4u.com/ (93 bytes)

//jsunpack.called CreateElement script  //jsunpack.url http://www.google-analytics.com/ga.js

    请注意,我美化了 HTML 以便于阅读。

    如您所见,它至少不会试图以任何方式伤害您的用户,而只是插入一些虚拟主机(从标题中了解到)垃圾邮件,表格中的三个链接横跨整个屏幕。还应该注意的是,他们正在通过 Google Analytics 分析您的流量。

    在互联网上进一步查看,我发现了一个类似的原因,似乎与您有同样的问题。对他的页面的请求稍后会加载到collegefun4u站点中。URL 查询非常聪明,它告诉我们它检测到 BlackHole 漏洞利用工具包 HTTP GET 请求

    确切地说,BlackHole 漏洞利用工具包最近因调整服务器上的文件而名声大噪。他们只是在各种类型的服务器软件中使用零日攻击来调整文件,以便能够发送垃圾邮件或感染许多客户端。

    这里故事的底线是三方面的:

    1. 跟踪您的服务器及其软件的版本并确保一切都已更新,这从 Apache / IIS 到 Plesk 到您的框架到 PHPMyAdmin 等等。

    2. 确保您将任何面向互联网的内容配置为无法写入您的磁盘,这主要意味着正确配置 Plesk / PHP / 文件权限。

    3. 如果它继续发生,请确保记录文件访问,以便您知道哪个进程正在执行此操作。在 Windows 上,您为此安装了Process Monitor,将其设置为过滤.html和/或.js文件,这样您就不会用所有访问权限填充页面文件。这可能会让你学到更多......

    • 4

相关问题