iT邦幫忙

0

早上客戶回報,發現多個 case 都被 Google 判定為有危險的網站
檢查原始碼發現頁面下方被值入了這個

<img heigth="1" width="1" border="0" src="http://imgbbb.net/t.php?id=12498166">

Google 一下相關的關鍵字查到這篇,請問現在該怎麼處理比較好?
http://blog.unmaskparasites.com/2011/05/05/thousands-of-hacked-sites-seriously-poison-google-image-search-results/

4
billyao
iT邦新手 1 級 ‧ 2011-05-11 13:16:50
最佳解答

1.安裝Windows 最新修補套件
2.更新防毒軟體病毒定義碼
3.使用木馬或蠕蟲偵測軟體
4.執行程序管理員,看看是否有可疑程式常駐,
如果有的話,執行MSCONFIG或Regedit程式,移除可疑程式其啟動東能
5.FTP密碼被盜用了,記得要去改FTP密碼,
另外將網站那台的Administrator也要變更,並移除可疑帳號

在regedit程式使用搜尋指令,http://imgbbb.net/t.php?id=12498166
如果有的話,記得一併刪除,它應該是被寫在一個檔案,
如果可以設法找到這個檔案的話,也許就可以找到病原了。

相關資訊,也許可以參考這個討論文
http://www.prestashop.com/forums/viewthread/108504/

你先做到這邊看看~

8
ihon822
iT邦研究生 2 級 ‧ 2011-05-10 17:38:43

如果你原本是用cuteftp請改用其他ftp軟體
先修改每個網站的ftp密碼
再去刪掉網頁被插入惡意程式
然後到google網站管理員工具設定重新檢查網站

chan15 iT邦新手 5 級 ‧ 2011-05-10 17:42:19 檢舉

我是用 filezilla :Q

cheaster iT邦新手 4 級 ‧ 2011-05-10 20:46:05 檢舉

我是用 filezilla :Q

原文…不是有說『如果』二個字…
重點應該是叫你換一個ftp-client的軟體…只要跟你本來用的不一定就好…

10
zyman2008
iT邦大師 8 級 ‧ 2011-05-10 23:16:17

換 client 只是治標吧.
改用 SFTP用 FTPS 方式,才不怕 FTP 連線 packet 裡的帳密被這支木馬錄.

chan15 iT邦新手 5 級 ‧ 2011-05-11 00:26:37 檢舉

各位是指這有可能是透過 ftp 上傳時被側錄?
可是好幾個網站相當久沒使用過 ftp 連線了(因為是結案很久的 case)
但今天一個一個出現一樣的問題

chan15 iT邦新手 5 級 ‧ 2011-05-11 00:27:10 檢舉

同時都在今天一起,不管新或舊,不論純 HTML 或 PHP,真的太奇怪了

zyman2008 iT邦大師 8 級 ‧ 2011-05-11 09:23:54 檢舉

我在猜,後門程式(.php)應該是已經先被上傳一陣子了,等於是 "殭屍網站" 了.
控制者再透過此後門程式,一次發動掛馬動作.
這次事件的整串手法可能步驟:
1.利用木馬竊取帳密
2.用 FTP 上傳後門程式
3.透過後門程式進行掛碼

12
bzbz
iT邦新手 2 級 ‧ 2011-05-11 01:21:11

其實我覺得你的網站被人家掛馬,跟ftp是哪家的有什麼關係?....XD

先去查一下你web server的log看看,有沒有驚人的發現

也順便參考OWASP的相關資料

zyman2008 iT邦大師 8 級 ‧ 2011-05-11 09:12:48 檢舉

因為樓主由 Google 查到,最近的這個掛馬事件. 有受害人發現,手法是透過木馬側錄 FTP 帳密
,再用 FTP 上傳後門程式(.php)到網站上.

  1. Criminals use stolen FTP credentials to upload malicious .php files to compromised servers. (confirmed both by webmasters who found trojans on their computers and by hosting providers who found attack traces in FTP logs)

這種針對 FTP 的木馬, 有的是針對特定的 FTP client 偷儲存的帳密檔. 有的是直接錄 FTP
封包. 所以建議防止這種木馬,就要用 FTPS 或 SFTP (請參閱下列 link 內的描述)
http://blog.unmaskparasites.com/2009/09/23/10-ftp-clients-malware-steals-credentials-from/

4
fireflybug
iT邦研究生 5 級 ‧ 2011-05-11 18:25:56

若真的只是透過FTP入侵,那FTP對外不開放就好,只能從內部或是信任的IP連FTP,這樣FTP被駭客連入的機率降低很多嗎?

ihon822 iT邦研究生 2 級 ‧ 2011-05-11 18:53:13 檢舉

如果是租用虛擬主機就沒辦法鎖IP

我要發表回答

立即登入回答