處理被判別為惡意網站的經驗

前天由於某單位的網站被判定為惡意網站, 被植入了惡意的程式碼。 這個網站其實不是放在我們自家的伺服器上, 當時的技術主管是決定放在 Lunar Pages。 禮拜三中午一到公司, 就接到電話打來說他們網站出現問題, 被當成惡意網站怎麼辦, 哈 (苦笑)

由於完全沒碰過這個網站, 當初程式也是外包, 現在只好硬著頭皮解決, 不過當天有 4 個會要開, 就先請原本負責的同事處理, 不過完全沒找出問題就是, 同事還直接上 google 網站管理員說回報說誤判了 XD

我只好趁開會之間的空檔開始找, 一開始先用 firebug 看, 看到多出了一個異常的 request, 馬上跟同事要了 FTP 帳號想說用 grep 去找一下, 可是從 php 裡面根本找不到任何跡象, 不過後來翻到一支 javascript 會直接被導走, 還有幾隻 javascript 看起來怪怪的, 這當初是外包出去的, 我也不知道他們會不會從國外幹奇怪的 javascript 回來用。

最後發現一個聰明的點, 首頁原本該是 index.php, 可是被放了一支 index.htm, 所以首頁自然就變成了 index.htm, 然後這隻 index.htm 的功能是用 javascript 去載入 index.php 的內容進來, 接著做邪惡的事。 所以連進首頁根本不會發現異常, 檢查 index.php 也完全不會發現任何東西。

把 index.htm 移掉之後, 想說大功告成了, 可是似乎有 cache 似的, 所以我用 curl 去抓了 index.htm 的內容下來, 沒想到這才發現更驚人的事實, 這時候回來的是 302 的 Document, 可是裡面居然是有問題的連結! 後來接著看了 404 的 Document 也是一樣, 這就表示 Lunar Pages 整台都被搞了, 當下就是決定開一台 Linode 整個搬過去 (其實打從一開始就這麼想, 畢竟這網站放 LunarPages 未免也太奇怪)。後來根據 stopbadware.org 的資料, 大概有兩萬多個網站被植入東西了。

當然搬走後, 接下來就是要處理從黑名單移除這件事, 首先拔光 malicious code 之後就是去回報, 所以趕快去 Google 網站管理員加入這個網站, 然後回報。 不過先前在沒有任何處置的狀況之下, 已經被同事回報沒問題了 囧, 所以先前的 request 根本就被取消了。

最後直接上 stopbadware.org 去回報, 回報說除了換主機之外, 也已經用幾個 malicious code 檢查的網站檢查過, 把檢查結果也都給過去, 最後隔天下午一點查看, 就發現從黑名單中移除了。

看來當初應該直接上 stopbadware.org 回報就好了, 因為一直到 stopbadware review 完, 可以正常瀏覽了, google 網站管理員還沒任何動作。

tzangms

Read more posts by this author.

Subscribe to Oceanic / 海海人生

Get the latest posts delivered right to your inbox.

or subscribe via RSS with Feedly!