受攻擊服務器上的Apache攻擊，通過字符串注入的iframe替換

Question

我的服務器最近已被入侵。今天早上，我發現入侵者正在向我的每個HTML頁面注入一個iframe。經過測試，我發現，他這樣做的方式是讓阿帕奇（？）由

<iframe link to malware></iframe></body> 

更換的

<body> 

每個實例例如，如果我瀏覽一個文件駐留在服務器包括：

</body> 
</body> 

然後我的瀏覽器看到包括文件：

<iframe link to malware></iframe></body> 
<iframe link to malware></iframe></body> 

我已經立即停止了Apache以保護我的訪問者，但到目前爲止，我還沒有能夠找到入侵者在服務器上發生了什麼變化來執行攻擊。我認爲他修改了一個Apache配置文件，但我不知道哪一個。特別是，我通過時間戳尋找最近修改過的文件，但沒有發現任何值得注意的事情。

感謝您的任何幫助。

團安。 PS：我正在從頭開始重新構建一個新服務器，但在此期間，我想保留舊服務器，因爲這是一個商業站點。

Answer 1

我不知道您的受損服務器的詳細信息。雖然這是針對Apache的相當標準的驅動式攻擊，但理想情況下，您可以通過回滾到以前版本的Web內容和服務器配置（如果您有可口可樂，請聯繫負責備份的技術團隊）來進行解決，讓我們假設你完全依靠你自己並需要自己解決問題。

從StopBadware.org's documentation on the most common drive-by scenarios and resolution cases:

惡意腳本

惡意腳本通常用於網站的訪問者重定向到一個 不同的網站和/或加載惡意軟件從其他來源拉動。這些 腳本通常會被攻擊者注入到您的 網頁的內容中，或者有時會被您的服務器上的其他文件（例如 圖像和PDF）注入。有時候，攻擊者不會將整個腳本 注入到您的網頁中，而只會注入一個指向.js 或攻擊者保存在您的Web服務器上的目錄中的其他文件的指針。

許多惡意腳本使用混淆，使他們更難以 防病毒掃描程序檢測：

有些惡意腳本使用，看上去就像他們是從 合法網站來名（注意「分析的拼寫錯誤「）：

。htaccess的重定向

Apache Web服務器，這是被許多託管服務提供商，採用了一種名爲的.htaccess 隱藏服務器文件爲網站上的目錄配置某些訪問 設置。攻擊者有時會通過 修改您的Web服務器上現有的.htaccess文件，或將新的 .htaccess文件上傳到您的Web服務器，其中包含將 用戶重定向到其他網站的說明，通常是導致惡意軟件下載或 欺詐性產品銷售的網站。

隱藏的iframe的

iframe是加載從另一個 網頁或網站的內容的網頁的一部分。攻擊者通常會將惡意iframe插入網頁 頁面或服務器上的其他文件。通常，這些內聯框架將被配置爲 ，因此當有人訪問 頁面時，它們不會顯示在網頁上，但它們正加載的惡意內容仍會加載， 隱藏在訪問者的視圖中。

如何尋找它

如果您的網站被報告爲谷歌一個惡意軟件的網站，你可以使用 谷歌的Webmaster Tools得到關於什麼是檢測 更多信息。這包括檢測到有害軟件 檢測到的頁面的樣本，並使用實驗室功能，甚至可能是您網站上發現的錯誤 代碼的樣本。 Google診斷頁面上的某些信息也可以是 ，您可以在以下網址中用您自己網站的網址替換 example.com： www.google.com/safebrowsing/diagnostic?site=example.com

在 互聯網上有幾個免費和付費的網站掃描服務，可以幫助您在您的網站上清除特定的惡意軟件。 還有一些工具可以在您的網絡服務器上使用和/或從您的網站下載的文件副本中搜索特定的 文本。 StopBadware不會列出或推薦此類服務，但我們的online community中的 志願者很樂意爲您提供他們的 收藏夾。

總之，首先使用Google提供的股票標準工具和掃描儀。如果無法識別威脅，則需要對CMS的代碼，Apache配置，SQL設置以及網站的其餘內容進行回溯，以確定受到攻擊的位置以及正確的修復步驟。

祝您好運，處理您的問題！