Apache-Angriff auf kompromittierten Server, Iframe durch Zeichenfolge ersetzt ersetzen

Question

Mein Server wurde kürzlich kompromittiert. Heute Morgen habe ich entdeckt, dass der Eindringling einen Iframe in jede meiner HTML-Seiten einfügt. Nach der Prüfung habe ich herausgefunden, dass die Art, wie er, indem man Apache tut, ist (?) Jede Instanz

<body> 

von

<iframe link to malware></iframe></body> 

Zum Beispiel zu ersetzen, wenn ich eine Datei mit Wohnsitz auf dem blättern Server, bestehend aus:

</body> 
</body> 

Dann sieht mein Browser eine Datei, bestehend aus:

Ich habe sofort gestoppt Apache meine Besucher zu schützen, aber bisher habe ich nicht in der Lage gewesen zu finden, was der Eindringling auf dem Server, den Angriff auszuführen geändert hat. Ich vermute, er hat eine Apache-Konfigurationsdatei geändert, aber ich habe keine Ahnung, welche. Insbesondere habe ich nach kürzlich geänderten Dateien nach Zeitstempel gesucht, aber nichts Bemerkenswertes gefunden.

Danke für jede Hilfe.

Tuan.

PS: Ich bin im Begriff, einen neuen Server von Grund auf wieder aufzubauen, aber in der Zeit, würde ich das alte am Laufen halten möchten, da dies ein Geschäft vor Ort ist.

Answer 1

Ich weiß nicht, die Details Ihres kompromittiert Server. Dies ist zwar ein relativ standardmäßiger Drive-by-Angriff auf Apache, den Sie jedoch idealerweise durch Zurücksetzen auf eine frühere Version der Webinhalts- und Serverkonfiguration beheben können (wenn Sie über ein Colo verfügen, wenden Sie sich an das für Ihre Sicherungen zuständige technische Team). Lass uns annehmen, dass du ganz allein bist und das Problem selbst beheben musst.

Ziehen von StopBadware.org's documentation on the most common drive-by scenarios and resolution cases:

Malicious Scripts

Malicious Scripts häufig verwendet werden Website-Besucher zu einer verschiedenen Website und/oder Last Badware von einer anderen Quelle umzuleiten. Diese Skripte werden häufig von einem Angreifer in den Inhalt Ihrer Webseiten oder manchmal in andere Dateien auf dem Server, wie Bilder und PDFs injiziert werden. Manchmal, statt das gesamte Skript in Ihre Web-Seiten eingespritzt wird, wird der Angreifer injiziert nur einen Zeiger auf eine Js oder andere Datei, die der Angreifer speichert in einem Verzeichnis auf Ihrem Web-Server .

Viele bösartige Skripte verwenden Verschleierung sie schwieriger für Anti-Viren-Scanner zu machen zu erkennen:

Einige bösartige Skripte Namen verwenden, die aussehen wie sie sind aus Richtung legitime Websites (beachten Sie die falsche Schreibweise von „analytics „):

..htaccess leitet

Der Apache-Webserver, die von vielen Hosting-Anbieter verwendet wird, verwendet eine versteckte Server-Datei .htaccess bestimmte Zugriffs Einstellungen für Verzeichnisse auf der Website zu konfigurieren. Angreifer werden manchmal eine bestehende .htaccess-Datei auf Ihrem Webserver ändern oder neue .htaccess-Dateien auf Ihren Webserver hochladen, die Anweisungen zum Umleiten von Benutzern an andere Websites enthalten, oft solche, die zu Badware-Downloads oder betrügerischen Produktverkäufen führen.

versteckte iFrames

Ein iframe ist ein Abschnitt einer Web-Seite, die Inhalte von anderen Seite oder Website lädt. Angreifer injizieren häufig bösartige Iframes in eine Web-Seite oder andere Dateien auf Ihrem Server. Häufig werden diese Iframes konfiguriert, so dass sie nicht auf der Webseite angezeigt werden, wenn jemand die Seite besucht, aber der schädliche Inhalt, den sie laden, wird immer noch geladen, aus der Sicht des Besuchers versteckt.

Wie suchen sie

Wenn Ihre Website als Badware Website von Google berichtet wurde, Sie Googles Webmaster Tools verwenden können, um mehr Informationen über das, was erkannt wurde zu erhalten. Dies umfasst eine Stichprobe von Seiten, auf denen die Badware erkannt wurde, und mit einer Labs-Funktion möglicherweise sogar eine Probe des schlechten Codes , der auf Ihrer Website gefunden wurde. Bestimmte Informationen können auch auf der Google Diagnostics-Seite gefunden werden, die Sie finden, indem Sie in der folgenden URL example.com durch die URL Ihrer eigenen Website ersetzen: www.google.com/safebrowsing/diagnostic?site=example.com

Es gibt mehrere kostenlose und kostenpflichtige Website-Scan-Dienste auf dem Internet, die Ihnen helfen können, auf bestimmte Badware auf Ihrer Website einzudringen. Es gibt auch Tools, die Sie auf Ihrem Webserver und/oder auf einer heruntergeladenen Kopie der Dateien von Ihrer Website verwenden können, um nach bestimmten Text zu suchen. StopBadware listet oder empfiehlt solche Dienste nicht, aber die Freiwilligen in unserem online community werden froh sein, Sie auf ihre Favoriten zu verweisen.

Kurz gesagt, verwenden Sie zuerst die standardmäßigen Tools und Scanner von Google. Wenn die Bedrohung nicht anders identifiziert werden kann, müssen Sie den Code Ihres CMS, die Apache-Konfiguration, das SQL-Setup und den restlichen Inhalt Ihrer Website zurückverfolgen, um festzustellen, wo Sie kompromittiert wurden und welche Korrekturmaßnahmen erforderlich sind.

Viel Glück beim Umgang mit Ihrem Problem!