Recentemente abbiamo ricevuto una chiamata da uno dei nostri clienti, lamentando che il loro sito ha un "codice dall'aspetto strano" nella parte inferiore della pagina. Abbiamo controllato il codice sorgente e scoperto che circa 800 byte di codice javascript dannoso erano stati aggiunti al file templates/master
, dopo il tag </html>
. Non posterò detto codice perché sembrava particolarmente cattivo.Malware sul sito Web di un cliente - Idee?
Per quanto posso dire, non ci sarebbe alcun modo per questo file da modificare in alcun modo, a meno che qualcuno ha avuto accesso diretto al server e/o FTP password. Il file stesso è stato modificato, in modo da escludere qualsiasi tipo di attacco SQL. Oltre a una persona che guadagna fisicamente le credenziali e modifica a mano questo file, ci sarebbe qualche altra spiegazione logica per quello che è successo? Qualcun altro ha avuto esperienza con qualcosa di simile?
L'altra opzione comune è che un computer su cui è in esecuzione un client ftp è stato compromesso e le credenziali sono state sniffate. – Quentin
La ragione per cui non dico SQL è perché il file fisico è stato modificato. Richiederebbe all'utente malintenzionato di indovinare la posizione dei nostri file modello (concessi, non particolarmente oscuri). Potrebbe trattarsi di una sorta di attacco automatico, o sarebbe molto probabilmente mirato personalmente? – Jeriko