早两年因客户的原因在新互注册了A级代理商资质,当时试用虚拟主机时看到新互推荐的siteengine建站程序,就顺带申请了个放在根目录下。试了几次之后,觉得不好用。后来就忘掉了这个程序。
今天发现网站的动态首页不正常,智能判断HostName来路失效了。FTP一查,发现首页程序被改了。再接着查,很快就定位到 /inc.asp 这个坏客Cracking程序。
这个站除了首页外,其他地方没有使用动态脚本;没有用RDB数据库,页面是静态页面。被坏客进入,有以下可能:FTP帐号泄漏、程序注入。FTP泄漏有可能,国内服务商绝大部分没有SFTP,难免有FTP密码被嗅探而泄漏的可能,而且内外有几个地方在共享这个FTP帐号传输文件。是么?已经下班了,暂时无从查证。
就在这时,我注意到FTP的WWW目录下有siteengine目录,进去一看,有个目录的修改时间和根索引页的修改时间一样。进去浏览一遍, lib 目录有个文件修就在那天被修改过。修改时间和首页修改时间相比,却晚一分钟。显然这有多种可能。其他被修改的文件,有的呈现出修改过多次的情形。估计,坏客Cracker闯入后又回来过多次。
对于这类上传木马以垃圾SEO为目的行为,花精力只能到堵住漏洞为止,进一步追索下去显然是得不偿失的,成本收益比太高了。我对新互在技术防范方面的能力不太看好,用一句话说:态度不端正。这方面新互的态度,比万网差远了。
切换文件、调整目录,下载被修改文件、上传本地备份恢复;处理非相关目录;重置FTP帐号,暂时取消FTP共享;连续监察FTP/HTTP访问、WEB在线统计日志。
记录在此。欢迎Cracker朋友回来参观本文。