Назад | Перейти на главную страницу

как это возможно, что хакер мог вставить фрагмент кода javascript внизу нескольких моих страниц

Каким-то образом некоторый код javascript был добавлен в конец нескольких моих индексных страниц на моем сайте. Я знаю, что это троян или iframe-атака. Однако мне интересно, как вообще возможно, что кто-то смог добавить код в мой источник?

Это проблема безопасности IIS? Они что-то сделали, разместив через одну из моих форм? Или что-то еще, о чем я даже не знаю.

Любая помощь в этом отношении приветствуется.

Если формы на вашем сайте размещены, а затем отображаются на вашем сайте, возможно, кто-то внедрил скрипт на ваш сайт.

Но это возможно только в том случае, если вы не используете htmlentities () или htmlspecialchars () (то есть, если вы используете PHP).

Вероятно, это FTP-атака. Не по какой-либо определенной логической причине - вполне возможно, что это могло быть вызвано внедрением содержимого, IIS или компрометацией на уровне сервера, - а просто потому, что атаки учетных данных FTP очень широко распространены в настоящее время.

Вы просматриваете веб-страницу с эксплойтом. Этот эксплойт устанавливает троян (*). Этот троян крадет пароль FTP, который вы используете для загрузки файлов на ваш сайт, и отправляет его на серверы злоумышленника. Эти серверы подключаются к FTP-серверу администратора вашего сайта (вероятно, через слой прокси-серверов ботнета) и изменяют каждый хранящийся там HTML-файл, добавляя в конец скрипт / iframe-атаку. Эта атака использует эксплойт для установки троянов на чужие машины. ♪ Это круговорот жизни.

Тебе надо:

  1. убедитесь, что каждый клиентский компьютер, получающий доступ к вашему сайту через FTP, полностью чист. Если вы не уверены насчет машины (например, потому что в какой-то момент за последние несколько лет на ней был троян), переустановите ОС. Не доверяйте антивирусному ПО чтобы устранить эти угрозы, потому что сегодняшняя антивирусная защита сильно отстает от злоумышленников и имеет очень мало практического применения. Даже если он заявляет, что «почистил» машину, скорее всего, он что-то упустил.

  2. прекратите использовать FTP. В этом веке нет причин использовать отстойный FTP. Получите клиент SFTP, и если ваш хост не предоставляет вам интерфейс SFTP для вашего сайта, смените хосты. В то время как компромисс на стороне клиента может украсть пароли SFTP, если он действительно пытался, большинство в настоящее время этого не делают, и есть много других причин, по которым FTP является суперплохой идеей.

(*: и, возможно, другие вещи, как правило, промо-приложение с поддельным антивирусом, которое пытается заставить вас потратить 50 долларов на их мошенническое антивирусное приложение, которое даже более бесполезно, чем настоящее антивирусное ПО.)

Троян - это фрагмент кода, который скрывается как часть другой программы. Итак, если вы не выполняли файл на своем сервере, значит, это не троян.

Что касается атак iframe, они не изменяют ваши исходные файлы.

Возникает вопрос: генерируются ли файлы вашего сайта динамически? Или действительно ли javascript находится в источнике?

Причина, по которой я спрашиваю, заключается в том, что если они генерируются динамически, то это может быть проблема межсайтового скриптинга или SQL-инъекции. Если последнее, что ж, кто-то вас внедрил, и у вас есть масса других проблем.

Я не думаю, что это возможно сказать без анализа всего кода и конфигурации сервера. Возможно

  1. удаленный эксплойт на веб-сервере, не связанный с вашим кодом
  2. недостаток в вашем приложении, связанный с хранением / отображением несанкционированного ввода (XSS)
  3. недостаток в вашем приложении, который позволял им изменять ваши файлы.