1. ホーム
  2. 質問と答え
  3. 侵入したサーバーに対するApacheの攻撃、iframeを文字列で置き換えた場合

侵入したサーバーに対するApacheの攻撃、iframeを文字列で置き換えた場合

2012-03-30 11 views
1

サーバーが最近侵害されました。今朝、私は、侵入者が各HTMLページにiframeを注入していることを発見しました。テストの後、私は彼がそれを行う方法は、私が上に存在するファイルを参照する場合侵入したサーバーに対するApacheの攻撃、iframeを文字列で置き換えた場合

例えば 
<iframe link to malware></iframe></body>

によって

<body>

のすべてのインスタンスを置き換えるためにApacheを(?)きであることを見出しましたなるサーバー:

</body> 
</body>

はその後、私のブラウザは、以下からなるファイルを見ている:

<iframe link to malware></iframe></body> 
<iframe link to malware></iframe></body>

私はすぐに訪問者を守るためにApacheを停止しましたが、これまで攻撃を実行するために侵入者がサーバー上で何を変更したのかを見つけることができませんでした。私は彼がApacheの設定ファイルを変更したと推測していますが、どのファイルがどれか分かりません。特に、私は最近変更されたファイルをタイムスタンプで探しましたが、注目すべきものは何も見つかりませんでした。

ありがとうございました。

Tuan。

PS:新しいサーバーを最初から再構築していますが、しばらくの間、これはビジネスサイトであるため、古いサーバーを実行しておきたいと思います。

出典

2012-03-30 Quang-Tuan Luong

答えて

2

感染したサーバーの詳細はわかりません。これはApacheに対するかなりの標準的なドライブバイ攻撃ですが、理想的にはWebコンテンツとサーバー構成の以前のバージョンにロールバックすることで解決できます(バックアップを担当する技術チームに連絡してください)。あなた自身が完全にあなた自身であり、あなた自身で問題を解決する必要があると仮定しよう。

悪意のあるスクリプトは、多くの場合、別のソースから 異なるウェブサイトおよび/または負荷マルウェアにサイト訪問者をリダイレクトするために使用されているStopBadware.org's documentation on the most common drive-by scenarios and resolution cases:

悪意のあるスクリプトから引っ張る

。これらの スクリプトは、多くの場合、 Webページのコンテンツに攻撃者によって挿入されることがあります。また、サーバー上の他のファイル( イメージやPDFなど)に挿入されることもあります。場合によっては、スクリプト 全体をあなたのWebページに挿入する代わりに、攻撃者は.js または攻撃者がウェブ サーバのディレクトリに保存する他のファイルへのポインタを挿入するだけです。

一部の悪質なスクリプトは、彼らが 合法的なサイトから来ているように見える名前を使用

(「分析のスペルミスに注意してください。

多くの悪意のあるスクリプトが検出する アンチウイルススキャナのためにそれらをより困難にするために難読化を使用します"):

です。htaccessファイルは

多くのホスティングプロバイダによって使用されているApache Webサーバーを、リダイレクトする、特定のアクセスにウェブサイト上のディレクトリの 設定を構成するためには.htaccessと呼ばれる 隠されたサーバーのファイルを使用しています。攻撃者は、 ウェブサーバー上の既存の.htaccessファイルを変更するか、 .htaccessファイルをWebサーバーにアップロードして、 のユーザーを他のWebサイトにリダイレクトする手順を含むことがあります。

隠しのiframe

はiframe別 ページやサイトからコンテンツをロードしたWebページのセクションです。攻撃者は悪意のあるiframeをウェブの ページまたはサーバー上の他のファイルに挿入することがよくあります。誰かが ページを訪れ、彼らがロードされている悪質なコンテンツがまだ は、訪問者の視界から隠され、ロードされるときに、Webページ上に表示されませんので、多くの場合、これらのiframeを 設定されます。どのようにあなたのサイトがGoogleのマルウェアサイトとして報告された場合、あなたは が検出されたかについての詳細な情報を取得するために GoogleのWebmaster Toolsを使用することができ、それを

を見てする

。これには、悪意のあるソフトウェアが検出されたページのサンプルが含まれています( ).Labs機能を使用して、おそらくあなたのサイトに見つかった不正なコード のサンプルを取得することもできます。特定の情報は、Google診断ページで と表示されます。次のURLの example.comを自分のサイトのURLに置き換えて見つけることができます: www.google.com/safebrowsing/diagnostic?site=example.com

あなたのサイトの特定のマルウェアをゼロ助けることができる 、インターネット上でいくつかの無料と有料のウェブサイトのスキャンサービスが存在します。 あなたが特定の テキストを検索するには、Webサーバー上および/またはウェブサイトからのファイルのダウンロード コピーに使用できるツールもあります。 StopBadwareはそのようなサービスをリストしたり推奨したりしていませんが、online communityの ボランティアは のお気に入りにあなたを案内してくれることをうれしく思います。

要するに、Googleが最初に提供しているストック標準のツールとスキャナを使用してください。脅威を他の方法で特定できない場合は、CMSのコード、Apacheの設定、SQLのセットアップ、Webサイトの残りの内容をバックパスして、どこで妥協したのか、正しい是正手順を決定する必要があります。

あなたの問題を処理するのに最適です!

出典

2012-03-30 23:26:45 MrGomez

関連する問題

 関連する問題