我的服务器最近被破坏了。今天早上,我发现入侵者正在向我的每个HTML页面注入一个iframe。经过测试,我发现他这样做的方法是让Apache(?)替换的每个实例
<body>
通过
<iframe link to malware></iframe></body>
例如,如果我浏览一个驻留在服务器上的文件,该文件包括:
</body>
</body>
然后我的浏览器看到一个文件,其中包括:
<iframe link to malware></iframe></body>
<iframe link to malware></iframe></body>
我已经立即停止了Apache以保护我的访问者,但到目前为止,我还无法找到入侵者在服务器上进行攻击时做了什么改变。我想他已经修改了Apache配置文件,但我不知道是哪一个。特别是,我按时间戳查找了最近修改的文件,但没有发现任何值得注意的内容。
谢谢你的帮助。
团。
附言:我正在从头开始重建一台新服务器,但在这段时间里,我想让旧服务器继续运行,因为这是一个商业网站。
我不知道您的受损服务器的详细信息。虽然这是针对Apache的一种相当标准的驾车攻击,理想情况下,您可以通过回滚到以前版本的web内容和服务器配置来解决(如果您有colo,请联系负责备份的技术团队),但我们假设您完全靠自己,需要自己解决问题。
从StopBadware.org关于最常见的驾车路过场景和解决方案的文档中提取:
恶意脚本
恶意脚本通常用于将网站访问者重定向到不同的网站和/或从另一个来源加载恶意软件。这些脚本通常会被攻击者注入到网页,或者有时进入服务器上的其他文件,例如图像和PDF。有时,不是注入整个脚本在你的网页中,攻击者只会注入一个指向.js的指针或攻击者保存在您的网络目录中的其他文件服务器
许多恶意脚本使用模糊处理使其更难要检测的防病毒扫描仪:
一些恶意脚本使用的名称看起来像来自合法网站(注意"analytics"的拼写错误):
.htaccess重定向
许多托管提供商使用的Apache web服务器使用名为.htaccess的隐藏服务器文件,用于配置特定的访问权限网站上目录的设置。攻击者有时会修改web服务器上现有的.htaccess文件或上载新文件.htaccess文件到您的web服务器,其中包含重定向指令其他网站的用户,通常是那些导致恶意软件下载或欺诈性产品销售。
隐藏的iframe
iframe是网页中从另一个页面加载内容的部分页面或网站。攻击者通常会将恶意iframe注入到web中页面或服务器上的其他文件。通常,这些iframe配置为当有人访问时不会显示在网页上页面,但他们正在加载的恶意内容仍将加载,隐藏在访客视线之外。
如何查找
如果你的网站被谷歌报告为恶意软件网站,你可以使用谷歌的网站管理员工具,以获取有关检测到。这包括恶意软件所在页面的样本检测到,使用实验室的功能,甚至可能是坏的样本在您的网站上找到的代码。某些信息也可以在谷歌诊断页面上找到,可以通过替换example.com与您自己网站的URL的链接:www.google.com/safebrowsing/deiagnostic?site=example.com
上有几个免费和付费的网站扫描服务互联网,可以帮助你集中在你的网站上的特定恶意软件。您还可以在web服务器和/或从您的网站下载文件副本以搜索特定文本StopBadware不列出或推荐此类服务,但我们在线社区的志愿者会很乐意为您介绍他们的收藏夹。
简而言之,首先使用谷歌提供的库存标准工具和扫描仪。如果无法以其他方式识别威胁,您需要通过CMS代码、Apache配置、SQL设置和网站的剩余内容进行回溯,以确定您在哪里受到了威胁,以及应该采取哪些正确的补救措施。
祝你处理好你的问题!