Security

被黑了。想了解如何

  • May 7, 2010

有人第二次將一大段 javascript 添加到我幫助執行的網站上。這個 javascript 劫持了 Google adsense,插入了他們自己的帳號,並到處粘貼廣告。

程式碼總是被附加,總是在一個特定的目錄中(一個由第三方廣告程序使用的目錄),影響這個廣告目錄內的許多目錄中的許多文件(20個左右),並在一夜之間插入大致相同的位置時間。Adsense 帳戶屬於一個中國網站(位於離我下個月要去中國的地方不到一小時車程的小鎮上。也許我應該去破腦袋……開玩笑,有點),順便說一句……這裡是關於網址:http ://serversiders.com/fhr.com.cn

那麼,他們如何將文本附加到這些文件中呢?是否與文件上設置的權限有關(範圍從 755 到 644)?對於網路伺服器使用者(它在 MediaTemple 上,所以它應該是安全的,是嗎?)?我的意思是,如果您有一個權限設置為 777 的文件,我仍然不能隨意添加程式碼……他們怎麼會這樣做?

下面是一個實際程式碼範例,供您觀賞(正如您所見……沒什麼大不了的。真正的訣竅是他們是如何把它放在那裡的):

<script type="text/javascript"><!--
google_ad_client = "pub-5465156513898836";
/* 728x90_as */
google_ad_slot = "4840387765";
google_ad_width = 728;
google_ad_height = 90;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>

由於許多人都提到了它,這就是我檢查過的內容(通過檢查,我的意思是我查看了文件被修改的時間是否有任何奇怪之處,並且我對文件進行了 POST 語句和目錄遍歷:

  • access_log(除了正常(即過多)msn bot 流量外,其他時間都沒有)
  • error_log (除了普通文件不存在看起來無害的文件的錯誤)
  • ssl_log(不過是平常的)
  • messages_log(除了我,這裡沒有 FTP 訪問)

*更新:**好的,解決了。來自中國的黑客在我們的網站上實際放置了一個文件,允許他們執行各種管理操作(數據庫訪問、刪除和創建文件和目錄,您可以命名,他們有權訪問)。我們很幸運,他們沒有做更具破壞性的事情。正常的 apache 日誌文件中沒有任何內容,但我在 Web 伺服器日誌分析器中發現了一組不同的日誌文件,並且證據就在那裡。他們使用自己的管理員使用者名和密碼訪問此文件,然後在伺服器上編輯他們需要的任何內容。他們的文件將“apache”設置為使用者,而我們網站上的所有其他文件都有不同的使用者名。現在我需要弄清楚他們是如何將這個文件物理地放到我們的系統上的。我懷疑這最終將歸咎於我們的網路主機(Media Temple),

首先chmod 744它不是你想要的。chmod 的目的是撤銷對系統上其他帳戶的訪問權限。chmod700比 chmod 安全得多744。然而,Apache 只需要執行位來執行您的 php 應用程序。

chmod 500 -R /your/webroot/

chown www-data:www-data -R /your/webroot/

www-data 通常用作 Apache 的帳戶,用於執行 php。您還可以執行此命令來查看使用者帳戶:

`<?php
print system("whoami");
?>`

FTP非常不安全,您很可能是被這種方法入侵的。使用 FTP,您可以使文件可寫,然後再次感染它們。確保在所有具有 FTP 訪問權限的機器上執行防病毒軟體。有些病毒會嗅探本地流量以獲取 FTP 使用者名和密碼,然後登錄並感染文件。如果您關心安全性,您將使用 SFTP,它會加密所有內容。以明文形式通過網路發送原始碼和密碼是完全瘋狂的。

另一種可能性是您正在使用舊的庫或應用程序。訪問軟體供應商的站點並確保您執行的是最新版本。

引用自:https://serverfault.com/questions/139258