GMT时间14日深夜3时左右,本站服务器被非法入侵,导致所有公众权限为777的文件夹被注入一个.htaccess文件和(随机数).php文件。
文件本身的功能是盗取所有进入本站的访客信息,然后向特定网站发送内容。
注入源无法得知,但鉴于文件本身并没有攻击力,入侵者必定使用了本站的漏洞,上传了攻击的脚本。
查看服务器log发现有人从包括70.87.89.10在内的数个主机寻找wp-table(wordpress插件)早期版本的后门。可以肯定是破坏者是有备而来,专门针对wordpress的用户。
PS:盗取的信息包括。
1。HTTP_HOST http请求的链接,例如如果你进入客栈的主页,这项就是blog.ticktag.org。
2。REQUEST_URI 访问本站的切实页面。
3。PHP_SELF 当前脚本文件名。
4。QUERY_STRING 如果请求url中有问号(?),则记录问号后的所有内容。
5。HTTP_REFERER 访问本站前的页面url,例如你从google来,则你在搜索单词也会被记录。(统计系统也干这个,用户可自行禁止)
6。HTTP_USER_AGENT 你的机器信息,包括浏览器和操作系统。(论坛也干这个,用户可自行伪装)
7。REMOTE_ADDR 你的IP地址。(论坛也干这个)
8。HTTP_ACCEPT_LANGUAGE 你设置的浏览器默认语言。(论坛也干这个,用户可自行伪装)
另外也从本地获得SERVER_NAME,本站服务器的主机名称,例如我们就是ticktag.org(虚拟主机);以及SCRIPT_FILENAME获得当前脚本的绝对路径。
最后用base64加密,发送请求到这两个网站。
www3.rssnews.ws
www3.xmldata.info
两者网站都不存在于google,但有不少个人网站被注入同样的脚本。
目前清理已结束,接下来是研究攻击者留下的log。希望不是整台主机都被黑了才好
暂时以上。
Loading ...
同情中……..店长辛苦了
#1
土匪与卡侬
乘坐着
Maxthon 与 
Windows XP
发射于 20:45 on May 15th, 2007
逆推吧!(指
#2
下載
乘坐着
Firefox 2.0.0.3 与 
Windows XP
发射于 13:10 on May 16th, 2007
已经升级到不能再升了…………
log里没找到明显的入侵证据,感觉可能是同个主机的人跨区修改…………但是服务商坚持什么都没发生过…………
#3
店长
乘坐着
Firefox 2.0.0.3 与 
Windows XP
发射于 21:14 on May 16th, 2007
有什么损失么,虽然看不太懂,似乎盗取的并不是敏感数据?
#4
nobody
乘坐着
Firefox 2.0.0.3 与 
Windows XP
发射于 21:30 on May 16th, 2007
嗯,对于我们这个非商业站来说没什么。顶多盗google pagerank而已。
不过既然入侵了,天知道他们有没顺便看看密码= =
#5
店长
乘坐着
Firefox 2.0.0.3 与 
Windows XP
发射于 21:59 on May 16th, 2007
撒盐吧(对WP不了解的某人如是说
#6
Rubia
乘坐着
Maxthon 2.0 与 
Windows XP
发射于 19:16 on July 20th, 2007
大家都是深奥的人啊……对于被黑这件事,如果是我是完全无法的,大脑从来马上短路啊~
#7
FAITH
乘坐着
Internet Explorer 6.0 与 
Windows XP
发射于 19:51 on August 13th, 2007