Получил вредоносное программное обеспечение на моем поставщике услуг хостинга, которые заражают файлы JavaScript.. как я нахожу точку входа?
Как альтернатива предложению MihaiM мне нравится устанавливать мою конфигурацию как это. Тем путем все адреса для интерфейса и все адреса могут быть подняты с единственной командой (ifup eth0) или вниз (ifdown eth0).
auto eth0
iface eth0 inet static
address 192.168.32.5
netmask 255.255.255.192
network 192.168.32.0
broadcast 192.168.32.63
# listen on additional addresses
up ip addr add 192.168.32.6/26 brd + dev eth0
up ip addr add 192.168.32.7/26 brd + dev eth0
down ip addr del 192.168.32.6/26 brd + dev eth0
down ip addr del 192.168.32.7/26 brd + dev eth0
Не случайно ли вы используете панель управления Plesk? Если да, то это может быть проблема уязвимости пароля, о которой они сообщили ранее в этом году. Если ваши пароли были захвачены, возможно, они только сейчас их используют. Проверьте журнал действий Plesk на наличие входов для нескольких клиентов с одного IP-адреса.
Наиболее вероятной причиной заражения может быть SQL-инъекция или межсайтовый скриптинг. Вы, наверное, уже знаете, что это за оба, но на всякий случай ...
XXS или «межсайтовый скриптинг» чаще всего встречается там, где сайт позволяет пользователю загружать контент на страницу (например, на форуме или в разделе комментариев или что-то еще) без проверки и проверки содержимого - или, возможно, с плохой проверкой и проверкой содержимого. Таким образом, гнусный пользователь загружает свой HTML / JS в качестве комментария, и следующий человек, просматривающий комментарий, выполняет сценарий.
SQLi (и я бы поставил на него) - это место, где гнусный пользователь отправляет исполняемый SQL вместе с URL или FORM (или cookie) параметры. Чаще всего кто-то использует числовые «идентификаторы» - скажем,? News_Id = 4 для новостной статьи - и БД настроена для нескольких операторов. Неосторожные программисты позволяют параметру URL-адреса передаваться непосредственно в БД, не определяя его как число ... чтобы кто-то мог указать что-то вроде? News_id = 4; update tableA set title = ..... вы поняли. Атаки SQLi могут быть очень сложными и включать в себя выполнение оцененных закодированных шестнадцатеричных кодов и т.п.
Таким образом, «наилучшим предположением» было бы то, что у кого-то есть незащищенный запрос, который обрабатывается SQLi - и это добавление этого JS к некоторому содержимому, которое является вынесен на страницу.
Что касается самого эксплойта. Я видел подобные эксплойты, но не видел этого конкретного. Это очень умно, мягко говоря. Обфускация доменного имени довольно уникальна для эксплойтов, которые я видел. Тем не менее - это МНОГО JavaScript, чтобы попытаться загрузить его в столбец char.
так кто-то может поставить что-то вроде? news_id = 4; update tableA set title = ..... вы поняли. Атаки SQLi могут быть очень сложными и включать в себя выполнение оцененных закодированных шестнадцатеричных кодов и т.п.Таким образом, «наилучшим предположением» было бы то, что у кого-то есть незащищенный запрос, который обрабатывается SQLi - и это добавление этого JS к некоторому содержимому, которое является вынесен на страницу.
Что касается самого эксплойта. Я видел подобные эксплойты, но не видел этого конкретного. Это очень умно, мягко говоря. Обфускация доменного имени довольно уникальна для эксплойтов, которые я видел. Тем не менее - это МНОГО JavaScript, чтобы попытаться загрузить его в столбец char.
так кто-то может поставить что-то вроде? news_id = 4; update tableA set title = ..... вы поняли. Атаки SQLi могут быть очень сложными и включать в себя выполнение оцененных закодированных шестнадцатеричных кодов и т.п.Таким образом, «наилучшим предположением» было бы то, что у кого-то есть незащищенный запрос, который обрабатывается SQLi - и это добавление этого JS к некоторому содержимому, которое является вынесен на страницу.
Что касается самого эксплойта. Я видел подобные эксплойты, но не видел этого конкретного. Это очень умно, мягко говоря. Обфускация доменного имени довольно уникальна для эксплойтов, которые я видел. Тем не менее - это МНОГО JavaScript, чтобы попытаться загрузить его в столбец char.
видел. Тем не менее - это МНОГО JavaScript, чтобы попытаться загрузить его в столбец char. видел. Тем не менее - это МНОГО JavaScript, чтобы попытаться загрузить его в столбец char.