我们最近接到了一位客户的电话,抱怨他们的网站在
页面底部有一些“奇怪的
代码”.我们查看了源
代码,发现在< / html>之后,大约800字节的恶意
javascript代码已经附加到模板/主
文件中.
标签.我不会发布所说的
代码,因为它看起来特别讨厌.
据我所知,除非有人直接访问服务器和/或FTP登录详细信息,否则无法以任何方式编辑此文件.实际文件本身已被修改,因此排除了任何类型的sql攻击.除了身体获得凭据并手动修改此文件的人之外,还会对发生的事情进行任何其他逻辑解释吗?有没有其他人有过这种事情的经历?
我要检查的地方是:
>文件修改时间(查看发生的时间)
> HTTP服务器记录有趣的GET参数的迹象(例如,?foo = exec(‘…’))
> FTP服务器日志
> SSH日志(类似的事情发生在我身上,这是因为有人发出了密码)
此外,我会立即限制对所有站点文件的写访问权限,只是为了安全地避免同一次攻击(当然,向量仍然是开放的,但它总比没有好).
