似乎有些东西攻击了网络服务器,或者我们运行了某种半恶意代码,不断将代码注入我们的网站.它似乎只影响了几个coldfusion和html文件.我们运行恶意软件,spybot和AVG防病毒软件并删除了他们找到的任何条目,尽管并不多.我正在研究和安装一些入侵检测软件(如Snort或OSSEC)以确定这是否会帮助我找到罪魁祸首,但我想知道是否有人见过这样的事情或知道恶意代码可能在哪里躲了起来.
@H_403_2@它似乎注入以下代码:
<iframe scrolling="no" frameborder="0" src="http://www.collegefun4u.com/" width="0" height="0"></iframe>@H_403_2@每晚都有几个文件,完全随机. @H_403_2@这是在运行Coldfusion MX7的Windows 2003服务器上.更改这些文件时,日志/事件查看器中不会显示任何内容.
解决方法
首先要做的是立即查看collegefun4u的全部内容.
@H_403_2@以安全的方式请求站点并解压缩后面的JS代码,we get:
>确保您配置了面向Internet的任何内容,以便无法写入磁盘,这主要意味着正确配置Plesk / PHP /文件权限.
>如果仍然发生,请确保记录文件访问权限,以便了解正在执行此操作的进程.在Windows上,您有Process Monitor,将其设置为对.html和/或.js文件进行过滤,这样您就不会在所有访问中填充页面文件.这可能会让你了解更多……
www.collegefun4u.com/ benign
[nothing detected] www.collegefun4u.com/
status: (referer=http:/twitter.com/trends/) saved 1205 bytes 3667a08e039642842c11744f464163baa186e4da
info: [decodingLevel=0] found JavaScript
error: undefined variable s
info: [1] no JavaScript
file: 3667a08e039642842c11744f464163baa186e4da: 1205 bytes
file: f9e4048e7e87436e12343dbcd9d467a31f0c972e: 93 bytes
Decoded Files
3667/a08e039642842c11744f464163baa186e4da from www.collegefun4u.com/ (1205 bytes,17 hidden)
<html>
<head>
<title>Top 3 Webhosting</title>
<Meta content="text/html; charset=iso-8859-1" http-equiv='Content-Type'>
<body>
<script> </script>
<table border='0' cellspacing='0' cellpadding='0' width='960' height="100%">
<tbody>
<tr>
<td>
<a target="_self" href="http://rover.ebay.com/rover/1/711-53200-19255-0/1?icep_ff3=1&pub=5574678674&toolid=10001&campid=5335950793&customid=&ipn=psmain&icep_vectorid=229466&kwid=902099&mtid=824&kw=lg">Shopping In Ebay For The Cheapest</a>
</td>
<td>
<a href="http://stats.justhost.com/track?c998ec72c307330822d1608c2d6651a1f">JustHost</a>
</td>
<td>
<a href="http://secure.hostgator.com/~affiliat/cgi-bin/affiliates/clickthru.cgi?id=hydmedia-">Hostgator</a>
</td>
</tr>
</tbody>
</table>
</body>
<script type="text/javascript"> var _gaq = _gaq || []; _gaq.push(['_setAccount','UA-33569939-1']); _gaq.push(['_trackPageview']); (function() {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga,s); })(); </script>
</html>
f9e4/048e7e87436e12343dbcd9d467a31f0c972e from www.collegefun4u.com/ (93 bytes)
//jsunpack.called CreateElement script //jsunpack.url http://www.google-analytics.com/ga.js
@H_403_2@请注意,我美化了HTML以便于阅读.
@H_403_2@正如您所看到的,它至少不会试图以任何方式伤害您的用户,而只是插入一些Webhosting(从标题中学习)垃圾邮件,表格中的三个链接跨越整个屏幕.还应注意,他们会通过Google Analytics分析您的流量.
@H_403_2@在互联网上进一步观察,我发现similar cause似乎与你有同样的问题.之后对他的页面的请求将加载到collegefun4u站点. URL查询非常智能,并告诉我们它检测到BlackHole漏洞利用工具包HTTP GET请求.
@H_403_2@确切地说,BlackHole漏洞利用工具包现在正在为调整服务器上的文件而声名鹊起.他们只是在各种类型的服务器软件中使用零日攻击,以便能够调整文件以便能够垃圾邮件或感染许多客户端.
@H_403_2@故事的底线是三折:
@H_403_2@>跟踪服务器及其软件的版本,确保所有内容都更新,从Apache / IIS到Plesk再到您的框架再到PHPMyAdmin.>确保您配置了面向Internet的任何内容,以便无法写入磁盘,这主要意味着正确配置Plesk / PHP /文件权限.
>如果仍然发生,请确保记录文件访问权限,以便了解正在执行此操作的进程.在Windows上,您有Process Monitor,将其设置为对.html和/或.js文件进行过滤,这样您就不会在所有访问中填充页面文件.这可能会让你了解更多……
