有人通过FTP访问您的网站(您或您的开发人员)在其工作站上有病毒。这个病毒安装了一个键盘记录程序,窃取您的FTP客户端的凭证并将这些信息发送回黑客。
黑客收集数百个这样的凭据,然后使用程序登录到每个服务器,下载文件,修改它以追加iframe或块模糊的JavaScript或PHP,上传文件,下载下一个文件,修改,上传,下一步等。下载的文件可以匹配一组名称(例如,仅索引,默认值为,home。*等)或者任何html或PHP文件。
所附的代码往往不是一个iframe是visibility:hidden的或1x1px大小,一个<脚本>对可疑域名采购远程JavaScript文件,使用Javascript的集合通过一些巧妙的str.CharCode'ing模糊,或一个base64_encode'd eval()'代码块。不混淆代码,结果通常是一个iframe。最近,一些聪明的攻击者插入远程shell,授予他们后门访问服务器的权限。
一旦所有文件都被修改,攻击者就会注销。访问您网站的访问者将受到来自iframe中链接域的恶意代码的影响,意图安装病毒和rootkit。除其他功能外,这些病毒还会安装一个键盘记录器来嗅探FTP凭证......并且病毒会继续传播。
攻击者正在使用您的凭据,因此他们只能访问您有权访问的文件。有时,他们会在某些带有编码shell的目录中上传一个额外的文件,允许他们返回到服务器(常见的是/ forums directores和img.php中的_captcha.php或/ gallery目录中的gifimg.php)。如果您在服务器上托管其他域,只要受影响域的用户不能访问超出其当前域的用户,其他域就不会受到影响。
有两种方法可以阻止这种攻击 - 预防和正确的防病毒。通过使用防火墙并将FTP访问限制为只有少数选定的IP,攻击可以很容易地被偏转。攻击者不是从你自己的工作站(还)攻击,而是在世界其他地方使用服务器。在所有可以访问您的FTP帐户的工作站上使用正确的防病毒程序 - 或者更好的是,不使用Windows XP - 将有助于防止发生原始感染。
如果受到感染,使用一些聪明的sed来清理混乱是相当容易的,这取决于你在发现注入和制定有效的正则表达式方面有多好。否则,备份备份备份 - 始终有备份! ...哦,并改变你的FTP密码,否则他们明天就会回来。
没有足够的信息来形成意见。也许你可以提供一些源代码来看看?如果你有一个URL,也许某个拥有强化机器的人愿意看看它。 – 2009-11-06 04:19:47
罗伯特代码是
我想罗伯特想看看你的网站上有哪些PHP代码可能会允许这种情况发生。 – alex 2009-11-06 04:56:45