Hosting

我的託管服務提供商感染了一個惡意軟體,它感染了 JavaScript 文件。我如何找到入口點?

  • October 20, 2012

今天早上,當我開始觸發惡意軟體警報並開始將流量重定向到外部站點時,一些託管在伺服器上的站點。

我發現一行打包的 javascript 被添加到伺服器上的許多 js 文件中。

該腳本的作用非常簡單,但我想知道這個惡意軟體是否眾所周知,以及它是如何感染伺服器和傳播的。

出於好奇,這裡是有問題的 Javascript 行:

http://pastebin.com/S0iAmRMx

注意:由於粘貼的 JavaScript,一些防病毒解決方案將此連結視為威脅

您是否正在執行 Plesk 控制面板?如果是這樣,這可能是他們今年早些時候通知的密碼漏洞問題。如果您的密碼被盜,他們可能正在使用它們。檢查您的 Plesk 操作日誌以了解從單個 IP 登錄到多個客戶端。

最可能的感染原因是 SQL 注入或跨站點腳本。你可能已經知道這兩個是什麼,但以防萬一……

XXS 或“跨站點腳本”最常見於站點允許使用者將內容上傳到頁面(例如在論壇或評論部分或其他任何地方)而不檢查和驗證內容的情況 - 或者可能檢查和驗證內容不佳。因此,惡意使用者將他的 HTML / JS 作為評論上傳,下一個查看評論的人會執行腳本。

SQLi(我敢打賭這個)是惡意使用者發送可執行 SQL 以及 URL 或 FORM(或 cookie)參數的地方。最常見的情況是有人使用數字“id”——比如 ?news_Id=4 用於新聞報導——並且數據庫被配置為多個語句。粗心的程序員允許 URL 參數直接傳遞給數據庫而不將其限定為數字……所以有人可以輸入類似 ?news_id=4; 的內容 更新 tableA set title=….. 你明白了。SQLi 攻擊可能非常棘手,並且涉及執行評估的編碼十六進制等。

因此,“最佳猜測”是某人有一個不受保護的查詢,該查詢正被 SQLi 擊中 - 這就是將此 JS 附加到一些發佈到頁面的內容中。

至於漏洞利用本身。我見過類似的漏洞利用,但我還沒有看到這個特定的漏洞。至少可以說非常聰明。它對域名的混淆對於我所見過的漏洞利用來說是非常獨特的。仍然 - 嘗試載入到 char 列中需要大量的 JavaScript。

引用自:https://serverfault.com/questions/400160