我的朋友在ovh.com上有一个网站。几天后,该网站被谷歌标记为危险。
我查看了文件(该网站只包含html,css,pjg),看起来是一行新的代码:
<script>http://...page.php</script></body>
(我不记得确切的网址)。这显然是在显示页面时运行的病毒。
如果我删除此行并再次扫描文件,则可以。
如何将其添加到服务器上的文件中?有什么可以防止这样的事情? (考虑.htaccess的东西或其他)。 我没看到ftp标识符是如何被盗的,所以对我来说这个代码插入必须来自其他地方。
你能帮忙吗?
非常感谢,
吕克
答案 0 :(得分:6)
这可能不是你想到的条款中的黑客。共享主机通常不是问题....并且不太可能有人猜到你的密码。不知道细节,我敢打赌,在帐户的某个地方你有一个开源软件,如Joomla,phpBB,Wordpress或类似的。我还打赌这段软件还没有更新。
这很常见。黑客发现易受攻击的脚本并抓取网页“嗅探”他们可以用来访问您网站的特定代码版本。几个工作前,一个俄罗斯色情操作进入我公司的网站,通过流氓安装的phpBB,一名员工偷偷在服务器上。通过这个易受攻击的代码,他们注入了数千个文件,甚至通过创建具有所有权限的新“superadmin”来访问数据库。毋庸置疑,清理工作一团糟。类似的问题发生在我用于测试目的的帐户中:旧版本的Joomla允许用户脚本注入看起来像是通过用户的浏览器安装病毒的乱码javascript,并且还导致错误屏幕在Chrome中描述。我当前公司的生产网站每天都会在日志中看到数百次尝试利用phpMyAdmin,这就是我们停止使用它的原因。
那么,现在呢?首先,让您的网站保持一点保护其他人....借此机会更改db和ftp密码。其次,分析那里有什么......爆炸任何未使用的代码,更新开源脚本。确保软件密码不会处于默认状态,因为黑客知道它们(想知道大多数WiFi是如何被黑客攻击的?)然后,不那么有趣的部分......挖掘页面来清理注入的代码。查找和替换或GREP可以帮助加快这一部分....但要小心把它全部拿出来或者他们可能有办法重新进入。在我的个人网站的情况下,需要2次复飞才能完全获得该网站被锁定并清理干净。这里的好消息是,大多数攻击都是自动化的,因此注入的代码非常明显,几乎总是位于同一位置,并且在页面之间使用类似的语法。另外,请注意其中一些攻击会在您的服务器上托管文件,因此请仔细检查文件以确保它们合法。
最后,分析一下你自己的代码,看看你是否留下了任何漏洞。登录脚本,fwrites甚至查询都可以作为注入目标。小心你打开自己。
答案 1 :(得分:1)