Alguien tiene, por segunda vez, se anexa un fragmento de javascript a un sitio que ayuda a ejecutar. Este javascript secuestra Google adsense, insertando su propio número de cuenta, y pegando anuncios por todas partes.
El código siempre se anexan, siempre en un directorio específico (uno utilizado por un tercero ad programa), afecta a un número de archivos en un número de directorios dentro de este uno de los anuncios dir (20 o así) y se inserta en aproximadamente el mismo tiempo de la noche a la mañana. La cuenta de adsense pertenece a un sitio web Chino (que se encuentra en una ciudad, no a una hora de donde yo voy a estar en China el próximo mes. Tal vez debería ir a la quiebra, los jefes... es broma, más o menos), por cierto... aquí está la información en el sitio: http://serversiders.com/fhr.com.cn
Así que, ¿cómo podrían añadir un texto a estos archivos? Se relaciona con el conjunto de permisos en los archivos (que van desde 755 y 644)? El webserver de usuario (en MediaTemple por lo que debe ser seguro, sí?)? Quiero decir, si usted tiene un archivo que tiene el conjunto de permisos a 777 todavía no me acaba de agregar código a voluntad... ¿cómo podrían estar haciendo esto?
Aquí se muestra un ejemplo del código real para su placer de la vista (y como se puede ver... no mucho. El verdadero truco es cómo llegaron ahí):
<script type="text/javascript"><!--
google_ad_client = "pub-5465156513898836";
/* 728x90_as */
google_ad_slot = "4840387765";
google_ad_width = 728;
google_ad_height = 90;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
Puesto que un número de gente ha mencionado, aquí es lo que he comprobado (y por comprobarse me refiero a que me miraba todo el tiempo, los archivos fueron modificados por ninguna rareza y yo grepped los archivos para PUBLICAR declaraciones y los recorridos de directorio:
- access_log (nada en todo el tiempo excepto normal (es decir, la excesiva) msn bot de tráfico)
- error_log (nada pero la costumbre archivo no existe errores para inocuo en busca de archivos)
- ssl_log (nada pero la costumbre)
- messages_log (sin acceso FTP en aquí, excepto para mí)
ACTUALIZACIÓN:* OK, solucionado. Los Hackers de China había ubican físicamente un archivo en nuestro sitio web que les permite hacer todo tipo de administrativos cosas (acceso a base de datos, borrar y crear archivos y directorios, lo que sea, que tenía acceso). Tuvimos la suerte de no hacer algo más destructivo. No había nada en el normal archivos de registro de apache, pero me encontré con un conjunto diferente de los archivos de registro en un servidor web log analyzer y la evidencia de que estaba ahí. Ellos fueron el acceso a este archivo con su propio nombre de usuario admin y la contraseña y, a continuación, la edición de cualquier cosa que necesitara, a la derecha allí en el servidor. Su archivo se ha "apache" establecer como el usuario, mientras que todos los otros archivos en nuestro sitio tiene un nombre de usuario diferente. Ahora tengo que averiguar cómo que físicamente tiene este archivo en nuestro sistema. Sospecho que la culpa de esto eventualmente resto con nuestra web de host (Media Temple), a menos que en realidad tenía nuestro inicio de sesión de FTP... no estoy seguro de cómo voy a determinar que, sin embargo, como este archivo, probablemente ha estado allí por un tiempo.