Qualcuno ha, per la seconda volta, aggiunto un pezzo di javascript a un sito che aiuto a eseguire. Questo javascript dirotta Google Adsense, inserendo il proprio numero di account e inserendo annunci ovunque.
Il codice viene sempre aggiunto, sempre in una directory specifica (quella utilizzata da un programma di annunci di terze parti), influisce su un numero di file in un numero di directory all'interno di questa directory annuncio (circa 20) e viene inserito all'incirca nello stesso giorno tempo. L'account AdSense appartiene a un sito Web cinese (situato in una città a non un'ora da dove sarò in Cina il mese prossimo. Forse dovrei andare a testa in giù ... scherzando, una specie di), a proposito ... ecco le informazioni su il sito: http://serversiders.com/fhr.com.cn
Quindi, come hanno potuto aggiungere testo a questi file? È correlato alle autorizzazioni impostate sui file (che vanno da 755 a 644)? Per l'utente del server web (è su MediaTemple, quindi dovrebbe essere sicuro, sì?)? Voglio dire, se hai un file con autorizzazioni impostate su 777, non posso ancora aggiungere il codice a piacimento ... come potrebbero farlo?
Ecco un esempio del codice reale per il tuo piacere di visione (e come puoi vedere ... non molto. Il vero trucco è come l'hanno inserito lì):
<script type="text/javascript"><!--
google_ad_client = "pub-5465156513898836";
/* 728x90_as */
google_ad_slot = "4840387765";
google_ad_width = 728;
google_ad_height = 90;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
Dato che diverse persone lo hanno menzionato, ecco cosa ho controllato (e per segno di controllo intendo che mi sono guardato intorno nel momento in cui i file sono stati modificati per qualsiasi stranezza e ho greppato i file per istruzioni POST e traversal di directory:
- access_log (niente nel tempo tranne traffico normale (es. eccessivo) msn bot)
- error_log (nient'altro che il solito file non esiste errori per file dall'aspetto innocuo)
- ssl_log (nient'altro che il solito)
- message_log (nessun accesso FTP qui tranne me)
* AGGIORNAMENTO: ** OK, risolto. Gli hacker dalla Cina avevano fisicamente inserito un file nel nostro sito che consentiva loro di fare ogni sorta di cose amministrative (accesso al database, eliminazione e creazione di file e directory, tu lo chiami, loro avevano accesso). Siamo stati fortunati a non aver fatto qualcosa di più distruttivo. Non c'era nulla nei normali file di log di Apache, ma ho trovato un diverso set di file di log in un analizzatore di log del server Web e le prove erano lì. Stavano accedendo a questo file con il proprio nome utente e password di amministratore e quindi modificando tutto ciò di cui avevano bisogno proprio lì sul server. Il loro file ha "apache" impostato come utente mentre tutti gli altri file sul nostro sito hanno un nome utente diverso. Ora ho bisogno di capire come hanno fisicamente ottenuto questo file sul nostro sistema. Ho il sospetto che la colpa sia dovuta al nostro host web (Media Temple),