Hoje de manhã, alguns sites que estão hospedados no servidor como eu começaram a acionar alertas de malware e começaram a redirecionar o tráfego para sites externos.
Descobri que uma linha de javascript compactado foi adicionada a muitos arquivos js no servidor.
O que o script faz é bem simples, mas o que eu gostaria de saber é se esse malware é bem conhecido e como ele infecta servidores e se propaga.
Para os curiosos, aqui está a linha de Javascript em questão:
NB: Algumas soluções antivírus capturam esse link como uma ameaça devido ao JavaScript colado
Por acaso você está executando o Plesk Control Panel? Nesse caso, esse poderia ser o problema de vulnerabilidade de senha que eles notificaram no início deste ano. Se as suas senhas foram capturadas, elas podem estar sendo usadas agora. Verifique seu log de Ação do Plesk para logins para vários clientes a partir de um único IP.
A causa mais provável da infecção seria injeção de SQL ou script entre sites. Você provavelmente já sabe o que ambos são, mas apenas no caso ...
XXS ou "cross site scripting" é mais comum quando um site permite que um usuário carregue conteúdo para uma página (digamos, em um fórum ou seção de comentários ou qualquer outro) sem verificar e validar o conteúdo - ou talvez mal verificar e validar o conteúdo. Então um usuário nefasto carrega seu HTML / JS como um comentário e a próxima pessoa que visualiza o comentário executa o script.
O SQLi (e eu aposto nisso) é onde um usuário nefasto envia SQL executável junto com parâmetros URL ou FORM (ou cookie). É mais comum quando alguém usa "ids" numéricos - digamos, news_Id = 4 para uma notícia - e o banco de dados é configurado para várias declarações. Programadores descuidados permitem que o parâmetro URL passe diretamente para o banco de dados sem qualificá-lo como um número ... então alguém pode colocar algo como? News_id = 4; update tableA set title = ..... você começa a idéia. Os ataques SQLi podem ser realmente complicados e envolvem a execução de hexágonos codificados avaliados e afins.
Portanto, um "melhor palpite" seria que alguém tem uma consulta desprotegida que está sendo atingida pelo SQLi - e isso está anexando esse JS a algum conteúdo que é colocado na página.
Quanto à exploração em si. Eu já vi explorações como essa, mas não vi essa específica. É muito inteligente para dizer o mínimo. É ofuscação do nome de domínio é bastante original para as façanhas que eu vi. Ainda assim, é um monte de JavaScript para tentar ser carregado em uma coluna de caracteres.