Security iFrame注入攻击跟随我们到达新服务器

几个月前，一个隐藏的iFrame开始出现在我们专用服务器上每个站点的每个页面上。当我们使用503关闭站点进行维护时，iFrame仍然在“关闭进行维护”页面上。最终，主机阻止了iFrame的源，但我们从未找到后门。注入的iFrame看起来像这样，但被包装在一个样式标记中，以混淆和使用各种URL：

iframe src=”http://heusnsy.nl/32283947.html..

我们把我们的小网站移到了另一个主机上，它们很好

我们将主站点移动到同一主机上的一个新的专用服务器上，尽管我们努力锁定服务器（防火墙、受限访问、软件更新、检查每个文件），iFrame还是返回了

我们到处都找遍了配置文件htaccess，但是找不到它

知道隐藏的iFrame注入漏洞在哪里吗

编辑： 以下是更多细节：运行Apache和PHP的Linux机器。所有内容的最新版本。注入的代码如下所示：

---

.ivx4di91j1{位置：绝对；左侧：-1418px；顶部：-1348px}我将初始感染源大致分为两组：
（1） 您的站点被某些漏洞破坏（如果您使用的是Wordpress或Joomla之类的开源引擎，您应该检查当前的漏洞，您可以从利用db.com开始）
（2） 您的站点的CMS是使用弱凭据访问的（正如您的问题评论中已经指出的）

代码的重新出现表明，感染源仍然存在。通常是一个PHP脚本，接收字符串作为参数（可能以base64或其他方式编码），解码并使用eval执行。我猜你没有更改域名，所以坏人的机器上有一些脚本，定期请求他的”backdor”并重新感染您的系统

如何找到此脚本？您的选项：


查看访问日志。查找可疑字符串，如.php？e=asSdfdSsafas==或向脚本发送不属于站点的请求

使用字符串搜索扫描所有文件，查找“eval（$\u POST['”或“eval（$\u GET['”或仅搜索“eval”），然后查找不可能成为站点引擎一部分的文件


希望这会有所帮助
Bests
检查一下……劫持你服务器的程序的恶棍作者被称为“Left4Dead”——他的iframe注入doo hicky被称为“BlackLeech”。你可以在Damagelab.org（刑事论坛！！）上找到这位绅士和他的广告

每次root用户登录时，恶意软件都会停止所有活动，或者如果您通过SSH连接到服务器。它还会监视系统监视工具：|

Damagelab.org广告截图：

作者发布的恶意软件广告文本：

注意你的线程是如何作为引用列出的：））

如果你需要翻译方面的帮助，打电话给我

几天前，我在一个我管理的网站上出现了一个横幅事件。最后我可以摆脱它。你可以查看完整的答案

问题是一个javascript代码被附加到文本区域。可能是浏览器被感染并附加了不需要的额外代码，导致了iframe加载

您的情况有所不同，但可能会有所帮助：如果您正在使用所见即所得编辑器在后端处理您的内容，或者其他人正在这样做，那么iframe很可能是由附加到文本区域或输入的javascript创建的

另一种方法。希望能有所帮助！
您托管的站点是什么？您使用的服务器软件是什么（以及什么版本？）什么操作系统？什么支持技术？祝贺你，你的车不会启动。你开的是什么车？没有任何代码，我们无法知道。你的主机是谁？你的防火墙注意到什么了吗？重新启动服务器会暂时修复它吗？你能隔离任何异常访问吗？文件中是否有它的痕迹esystem anywhere？该站点是否仍存在这种异常行为？我在哪里可以看到它？您所有的文件修改时间是否与您上次访问它们时一致？您的密码是否为“password”，“123456”“，还是少于4封信？谢谢瓦迪姆。这很有帮助。我刚刚更新了问题，从我们学到的更多细节。对我来说，在一个大多数用户都不使用俄语的网站上用俄语回答是个坏主意。