誰かが、私が実行するのに役立つサイトにjavascriptのチャンクを2回目に追加しました。このjavascriptはGoogle adsenseをハイジャックし、独自のアカウント番号を挿入し、広告を全面的に貼り付けます。
コードは常に1つの特定のディレクトリ(サードパーティの広告プログラムで使用されるディレクトリ)に常に追加され、この1つの広告ディレクトリ(20程度)内の多数のディレクトリ内の多数のファイルに影響し、ほぼ同じ夜間に挿入されます時間。AdSenseアカウントは中国のウェブサイトに属します(来月、中国に来る1時間前の町にあります。たぶん頭を悩ませる必要があります...冗談です)。サイト:http : //serversiders.com/fhr.com.cn
では、これらのファイルにテキストをどのように追加できますか?ファイルに設定されている権限(755から644まで)に関連していますか?Webサーバーユーザー(MediaTemple上にあるため、安全である必要がありますか?)つまり、アクセス許可が777に設定されているファイルがある場合、コードを自由に追加することはできません。
ここに、あなたの閲覧の喜びのための実際のコードのサンプルがあります(そして、あなたが見ることができるように...それにたいしたことはありません。本当のトリックは、彼らがそこにそれを入れた方法です):
<script type="text/javascript"><!--
google_ad_client = "pub-5465156513898836";
/* 728x90_as */
google_ad_slot = "4840387765";
google_ad_width = 728;
google_ad_height = 90;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
多くの人がそれを言及しているので、ここに私がチェックしたものがあります(チェックされたということは、ファイルが何らかの奇妙さのために変更された時間を見回したことを意味し、POSTステートメントとディレクトリトラバーサルのためにファイルをグレップしました:
- access_log(通常の(つまり、過剰な)msnボットトラフィック以外は何もありません)
- error_log(無害なファイルの場合、通常のファイルは存在しませんが、エラーはありません)
- ssl_log(通常のもののみ)
- messages_log(私以外のFTPアクセスはありません)
*更新:** OK、解決しました。中国のハッカーは、サイトに物理的にファイルを配置して、あらゆる種類の管理(データベースへのアクセス、ファイルとディレクトリの削除と作成、名前を付けて、アクセスできる)を行えるようにしました。彼らはもっと破壊的なことをしなかったのは幸運でした。通常のApacheのログファイルには何もありませんでしたが、Webサーバーのログアナライザーで別のログファイルのセットを見つけ、証拠がそこにありました。彼らは自分の管理者ユーザー名とパスワードでこのファイルにアクセスし、サーバー上で必要なものを編集していました。これらのファイルにはユーザーとして「apache」が設定されていますが、サイト上の他のすべてのファイルには異なるユーザー名が付けられています。次に、このファイルをシステムに物理的にどのように取得したかを把握する必要があります。これに対する責任は最終的にはウェブホスト(Media Temple)にあると思われますが、