今天出现了奇怪的问题，网页病毒

Question

今天早上，突然发现浏览自己网站的某些网页，瑞星报出病毒，查看源文件一看，在<html>的最先面加了一段js代码，明显就是那段代码在作怪，马上进入服务器看，可是那个网页好好的，并没有被修改，纳闷，于是以为自己的电脑有毒，可是，一会儿时间，接连接到电话说我们网站有病毒，于是又怀疑是服务器给黑，不过始终不知所解，那个文件根本就没这个病毒代码阿，不过过了一段时间，一个多小时，尽然又好了，刷新网页，那段病毒代码没有了。
今天有没有人碰到我一样的情况阿，我现在怀疑是电信的缘故，在传送过程中被加入这段代码，我的猜测会是正确的吗？如果是服务器的话，那麻烦就大了，说明被黑客黑了

Answer 1

你网页里是不是 调用了其他js 或者 iframe
检查一下相应的 .js 和 嵌入页面

再者，你服务器肯定是被人攻击了
检查一下吧

[ 本帖最后由 ryanmm 于 2007-1-27 13:18 编辑 ]

Answer 2

我现在怀疑是电信的缘故，在传送过程中被加入这段代码，我的猜测会是正确的吗？

这个绝不可能，是服务器的原因，是被黑了还是自己中毒了有待考证
如果你保存了当时看到的 js 部分代码，可以搜索一下整个网站目录下的所有文件是否包含这段关键字

Answer 3

你把自己保存的JS代码找点关键字，再到/var/www/html或者你自己的网页目录下cat *.html|grep ？？？看看有没有那些JS代码吧？行的话，给我分哦~~呵呵，因为，我要拿50分出来给人帮我呀~~

[ 本帖最后由 jd_chen 于 2007-1-27 15:00 编辑 ]

Answer 4

前短时间听说过消息

说有人在中间路由上投放病毒，不知真假

Answer 5

原帖由 showsa 于 2007-1-27 15:26 发表于 5楼  
前短时间听说过消息

说有人在中间路由上投放病毒，不知真假

这个不可能吧,除非是电信的人,要不,如果有路由的ID,绝对不会做这种蠢事的,有很多其它的事可以做~~

Answer 6

如果有做 tripwire 或備份的習慣，也可先拿來比較，找出有哪些文件被修改過。
在碰到問題那當時，要是你要對系統做 snapshot，那對後面的除錯也很有幫助。
要是你的主機不是你所管的，只是放在別人的 colocation ，那可能的原因就無限多了。

anyway，有發現問題是好事，總被完全不知道要好了...  ^_^

Answer 7

原帖由 hq22 于 2007-1-27 11:35 发表于 1楼  
今天早上，突然发现浏览自己网站的某些网页，瑞星报出病毒，查看源文件一看，在<html>的最先面加了一段js代码，明显就是那段代码在作怪，马上进入服务器看，可是那个网页好好的，并没有被修改，纳闷，于是 ...

=================
既然浏览器上报出病毒，那么网页里面恳定是有的，不过这段病毒代码放在哪里就要你好好的思量一下了，如果是直接放在网页里的找一下很简单的，用关键字检索（自己在浏览器源文件中截取几个关键字），如果是调用别的网站的代码，你也可用关键字检索（不太灵了），不过对于整个网站文件的目录结构最好是一清二楚的，我就怕，这段病毒代码放在数据库里，那要你对整站的代码熟悉，否则的话，我估计你很难查得到恶意代码到底放在哪张表里。

Answer 8

原帖由 showsa 于 2007-1-27 15:26 发表于 5楼  
前短时间听说过消息

说有人在中间路由上投放病毒，不知真假

我觉的是这个可能，不知道确切不确切？其他情况基本上可排除，网页文件是我自己写的，结构一清二楚，有的页面没有调用数据库，在浏览器上也有这段代码，另外服务器是自己的，就放了一个网站，没其他任何应用，再则，网站上有些页面有这个病毒，而其他一些页面又没有，还有，来的突然，去的也突然。
所以我估计不是服务器原因，察看网页文件，修改时间都是旧的，并且网页文件上不存在任何可能的那段代码，除非服务器中病毒，有进程在生成页面时自动加上。

Answer 9

有非法劫持这个说法吧，有的时候使用CDN，在CDN的镜像上会有被人恶意修改加入病毒的情况，前些日子遇到过一次，不过楼主这个好像没用上CDN，不知道是不是和我说的状况差不多。