Хтось уже вдруге додав шматок javascript на сайт, який я допомагаю запустити. Цей javascript викрадає Google adsense, вставляючи власний номер облікового запису та наклеюючи рекламу по всьому.
Код завжди додається, завжди в одному конкретному каталозі (той, який використовується третьою рекламною програмою), впливає на кількість файлів у ряді каталогів, що знаходяться в цьому одному dir dir (20 або більше), і вставляється приблизно однаково протягом ночі час. Обліковий запис Adsense належить китайському веб-сайту (розташований у місті не за годину, звідки я буду в Китаї в наступному місяці. Можливо, я повинен піти на голову ... жартую, начебто), btw ... ось інформація про сайт: http://serversiders.com/fhr.com.cn
Отже, як вони могли додати текст до цих файлів? Це пов’язано з дозволами, встановленими для файлів (від 755 до 644)? Для користувача веб-сервера (він знаходиться на MediaTemple, тому він повинен бути захищеним, так?)? Я маю на увазі, якщо у вас є файл, для якого встановлено дозволи 777, я все одно не можу просто додати код до нього за бажанням ... як вони це роблять?
Ось зразок фактичного коду для вашого задоволення від перегляду (і як ви бачите ... не надто. Справжній трюк полягає в тому, як вони їх увімкнули):
<script type="text/javascript"><!--
google_ad_client = "pub-5465156513898836";
/* 728x90_as */
google_ad_slot = "4840387765";
google_ad_width = 728;
google_ad_height = 90;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
Оскільки декілька людей згадували про це, ось що я перевірив (і, маючи на увазі, я маю на увазі, що я оглянув час, коли файли були модифіковані на будь-які дивацтва, і я перехопив файли для операторів POST та обходу каталогів:
- access_log (нічого, окрім звичайного (тобто надмірного) MSN-трафіку)
- error_log (нічого, крім звичайного файлу, не існує помилок для нешкідливих файлів)
- ssl_log (нічого, крім звичайного)
- messages_log (тут немає FTP доступу, окрім мене)
* ОНОВЛЕННЯ: ** ОК, вирішено. Хакери з Китаю фізично розмістили файл на нашому веб-сайті, який дозволяє їм робити всі адміністративні речі (доступ до бази даних, видалення та створення файлів та файлів, ви називаєте це, у них був доступ). Нам пощастило, що вони не зробили щось більш руйнівне. У звичайних файлах журналу apache нічого не було, але я знайшов інший набір файлів журналів у аналізаторі журналів веб-сервера, і докази були там. Вони отримували доступ до цього файлу за допомогою власного імені користувача та пароля адміністратора, а потім редагували все необхідне прямо там на сервері. У їхньому файлі встановлено "apache" як користувач, тоді як усі інші файли на нашому сайті мають інше ім'я користувача. Тепер мені потрібно розібратися, як вони фізично потрапили до цього файлу в нашу систему. Я підозрюю, що винна в цьому врешті-решт покладається на наш веб-хостинг (Media Temple),