귀하의 사이트 (귀하 또는 귀하의 개발자)에게 FTP 액세스 권한을 가진 누군가가 워크 스테이션에 바이러스가 있습니다. 이 바이러스는 FTP 클라이언트의 자격 증명을 도용 한 키로거를 설치하고이 정보를 다시 해커에게 보냅니다.
해커가 수백 가지의 자격 증명을 수집 한 다음 프로그램을 사용하여 각 서버에 로그인하거나 파일을 다운로드하거나 iframe 또는 난독 화 된 JavaScript 또는 PHP 블록을 추가하거나 파일을 업로드하거나 다음 파일을 다운로드하거나 , 업로드, 다음 등. 다운로드 한 파일은 일련의 이름 (예 : , 기본값., 집. * 등) 또는 HTML 또는 PHP 파일과 일치 할 수 있습니다.
첨부 된 코드는 종종 가시성 iframe이 중 하나입니다 : 또는 1x1px 크기의 숨겨진 의심스러운 도메인에서 원격 자바 스크립트 파일을 소싱 < 스크립트 >은, 자바 스크립트의 모음 일부 영리한 str.CharCode'ing으로 난독 화, 또는 base64_encode'd eval() '코드의 블록. 코드의 난독성을 없앤 결과는 종종 iframe입니다. 최근에는 일부 영리한 공격자가 원격 셸을 삽입하여 서버에 대한 백도어 액세스 권한을 부여합니다.
모든 파일이 수정되면 공격자가 로그 아웃합니다. 사이트 방문자는 바이러스 및 루트킷을 설치할 의도로 iframe에 링크 된 도메인의 악성 코드가 적용됩니다. 다른 기능들 중에서도 이러한 바이러스는 키로거 (keylogger)를 설치하여 FTP 자격 증명을 스니핑 (sniff)하고 바이러스가 계속 전파됩니다.
공격자가 자격 증명을 사용하고있어 액세스 권한이있는 파일에만 액세스 할 수 있습니다. 경우에 따라 인코딩 된 쉘을 사용하여 특정 디렉토리에 추가 파일을 업로드하여 서버에 대한 액세스 권한을 반환 할 수 있습니다 (일반적으로/forums 디렉 토리의 _captcha.php 및/gallery 디렉토리의 img.php 또는 gifimg.php). 서버에서 다른 도메인을 호스팅하는 경우 영향을받는 도메인의 사용자가 현재 도메인을 벗어나는 액세스 권한이없는 한 다른 도메인은 영향을받지 않습니다.
이런 종류의 공격을 막을 수있는 두 가지 방법이 있습니다. 예방과 적절한 바이러스 백신입니다. 공격은 방화벽을 사용하고 FTP 액세스를 몇 가지 선택 IP로만 제한함으로써 쉽게 벗어날 수 있습니다. 공격자는 자신의 워크 스테이션 (아직)이 아닌 전세계의 다른 서버에서 공격합니다. FTP 계정에 액세스 할 수있는 모든 워크 스테이션에서 적절한 바이러스 백신을 사용하거나 Windows XP를 사용하지 않는 것이 원본 감염을 예방하는 데 도움이됩니다.
감염된 경우 주사를 발견하고 효과적인 정규 표현식을 작성하는 데 얼마나 좋은지에 따라 약간의 영리한 sed를 사용하여 엉망을 청소하는 것이 상당히 쉽습니다. 그렇지 않으면 백업 백업 백업 - 항상 백업이 있습니다! ... 오, 그리고 당신의 FTP 암호를 바꾸면 그들은 내일 돌아올 것입니다.
의견을 작성하는 데 필요한 정보가 충분하지 않습니다. 볼 수있는 소스 코드를 제공 할 수 있습니까? URL이 있다면 어쩌면 강화 된 컴퓨터를 가진 사람이 그것을보고 싶어 할 것입니다. –
로버트 코드는 대지. 내 웹 사이트에서이 코드를 제거했습니다. 그것의 일 벌금. 사이트가이 코드로 삽입 될 때마다이 코드가 제거됩니다. – sathish
로버트가 당신의 사이트에서 * 발생할 가능성이있는 PHP 코드를보고 싶다고 생각합니다. – alex