web-dev-qa-db-ja.com

コードインジェクション、ある種のハック?

何かがWebサーバーをハッキングしたか、Webサイトにコードを挿入し続けるある種の半悪意のあるコードが実行されているようです。いくつかのcoldfusionとhtmlファイルに影響を与えるようです。私たちはmalwarebytes、spybot、およびAVGアンチウイルスを実行し、見つかったエントリを削除しましたが、多くはありませんでした。私はいくつかの侵入検知ソフトウェアを調査してインストールしています( SnortまたはOSSEC)これが原因を見つけるのに役立つかどうかを確認しますが、誰かがこのようなものを見たことがあるか、悪意のあるコードがどこに隠れているかを知っているかどうか疑問に思いました。

次のコードを挿入しているようです。

<iframe scrolling="no" frameborder="0" src="http://www.collegefun4u.com/" width="0" height="0"></iframe>

完全にランダムな時間に、毎晩いくつかのファイルに。

これは、ColdfusionMX7を実行しているWindows2003サーバー上にあります。これらのファイルが変更されても、ログ/イベントビューアには何も表示されません。

4
user44650

最初に行うことは、collegefun4uが何であるかをすぐに確認することです。

安全な方法でサイトをリクエストし、その背後にあるJSコードを解凍すると、 取得

www.collegefun4u.com/ benign
[nothing detected] www.collegefun4u.com/
     status: (referer=http:/Twitter.com/trends/) saved 1205 bytes 3667a08e039642842c11744f464163baa186e4da
     info: [decodingLevel=0] found JavaScript
     error: undefined variable s
     info: [1] no JavaScript
     file: 3667a08e039642842c11744f464163baa186e4da: 1205 bytes
     file: f9e4048e7e87436e12343dbcd9d467a31f0c972e: 93 bytes

Decoded Files
3667/a08e039642842c11744f464163baa186e4da from www.collegefun4u.com/ (1205 bytes, 17 hidden)

<html>
<head>
<title>Top 3 Webhosting</title>
<meta content="text/html; charset=iso-8859-1" http-equiv='Content-Type'>
<body>
<script> </script>
<table border='0' cellspacing='0' cellpadding='0' width='960' height="100%">
<tbody>
<tr>
    <td>
        <a target="_self" href="http://rover.ebay.com/rover/1/711-53200-19255-0/1?icep_ff3=1&pub=5574678674&toolid=10001&campid=5335950793&customid=&ipn=psmain&icep_vectorid=229466&kwid=902099&mtid=824&kw=lg">Shopping In Ebay For The Cheapest</a>
    </td>
    <td>
        <a href="http://stats.justhost.com/track?c998ec72c307330822d1608c2d6651a1f">JustHost</a>
    </td>
    <td>
        <a href="http://secure.hostgator.com/~affiliat/cgi-bin/affiliates/clickthru.cgi?id=hydmedia-">Hostgator</a>
    </td>
</tr>
</tbody>
</table>
</body>
<script type="text/javascript">    var _gaq = _gaq || [];   _gaq.Push(['_setAccount', 'UA-33569939-1']);   _gaq.Push(['_trackPageview']);    (function() {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);   })();  </script>
</html>

f9e4/048e7e87436e12343dbcd9d467a31f0c972e from www.collegefun4u.com/ (93 bytes)

//jsunpack.called CreateElement script  //jsunpack.url http://www.google-analytics.com/ga.js 

読みやすくするためにHTMLを美化したことに注意してください。

ご覧のとおり、少なくともユーザーに害を及ぼすことはありませんが、画面全体に広がる3つのリンクであるWebホスティング(タイトルから学習)スパムを挿入するだけです。また、GoogleAnalyticsを介してトラフィックを分析していることにも注意してください。

インターネットでさらに調べてみると、あなたと同じ問題があるように見える 同様の原因 が見つかりました。彼のページへのリクエストは、後でcollegefun4uサイトに読み込まれます。 URLクエリは非常にスマートで、検出されたBlackHoleエクスプロイトキットのHTTP GETリクエストを教えてくれます。

まさに、BlackHoleエクスプロイトキットは、サーバー上のファイルを調整するために最近有名になっています。さまざまなタイプのサーバーソフトウェアでゼロデイエクスプロイトを使用するだけで、ファイルを調整して多くのクライアントにスパムや感染を引き起こすことができます。

ここでの話の要点は3つあります。

  1. サーバーとそのソフトウェアのバージョンを追跡し、すべてが更新されていることを確認します。これはApacheからのものです。/IIS Pleskからフレームワーク、PHPMyAdmin以降。

  2. インターネットに面しているものをディスクに書き込めないように設定したことを確認してください。これは主に、Plesk/PHP /ファイルパーミッションを正しく設定することを意味します。

  3. それが引き続き発生する場合は、ファイルアクセスをログに記録して、どのプロセスがこれを実行しているかを確認してください。 Windowsでは、 Process Monitor を使用する場合は、.htmlおよび/または.jsファイルでフィルター処理するように設定して、ページファイルがすべてのアクセスでいっぱいにならないようにします。これはあなたをもっと学ぶかもしれません...

4
Tamara Wijsman