Pour la deuxième fois, une personne a ajouté une partie de javascript à un site que j'aide à fonctionner. Ce javascript détourne Google adsense, en insérant son propre numéro de compte et en collant des annonces partout.
Le code est toujours ajouté, toujours dans un répertoire spécifique (celui utilisé par un programme publicitaire tiers), affecte un certain nombre de fichiers dans plusieurs répertoires de ce répertoire (environ 20) et est inséré à peu près au même jour. temps. Le compte adsense appartient à un site Web chinois (situé dans une ville à moins d'une heure de là où je serai en Chine le mois prochain. Peut-être devrais-je me prendre la tête ... je plaisante, en quelque sorte), au fait ... voici les infos sur le site: http://serversiders.com/fhr.com.cn
Alors, comment pourraient-ils ajouter du texte à ces fichiers? Est-ce lié aux autorisations définies sur les fichiers (de 755 à 644)? Pour l'utilisateur du serveur Web (c'est sur MediaTemple alors il devrait être sécurisé, oui?)? Je veux dire, si vous avez un fichier dont les autorisations sont définies sur 777, je ne peux toujours pas y ajouter du code à volonté ... comment pourraient-ils le faire?
Voici un exemple du code réel qui vous plaira (et comme vous pouvez le voir ... pas grand-chose. Le vrai truc, c'est comment ils l'ont obtenu ici):
<script type="text/javascript"><!--
google_ad_client = "pub-5465156513898836";
/* 728x90_as */
google_ad_slot = "4840387765";
google_ad_width = 728;
google_ad_height = 90;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
Depuis que plusieurs personnes l'ont mentionné, voici ce que j'ai vérifié (et par coche, je veux dire, j'ai regardé vers le moment où les fichiers ont été modifiés pour éviter les bizarreries et j'ai attrapé les fichiers pour les instructions POST et les répertoires:
- access_log (rien dans le temps sauf le trafic bot normal et excessif)
- error_log (rien sauf le fichier habituel n'existe pas d'erreurs pour les fichiers inoffensifs)
- ssl_log (rien mais l'habituel)
- messages_log (pas d'accès FTP ici sauf pour moi)
* MISE À JOUR: ** OK, résolu. Des pirates chinois avaient placé physiquement sur notre site un fichier leur permettant de faire toutes sortes de démarches administratives (accès à une base de données, suppression et création de fichiers et de répertoires, vous le nommez, ils y avaient accès). Nous avons eu de la chance qu'ils n'aient rien fait de plus destructeur. Il n'y avait rien dans les fichiers journaux Apache normaux, mais j'ai trouvé un ensemble différent de fichiers journaux dans un analyseur de journaux de serveur Web et les preuves s'y trouvaient. Ils accédaient à ce fichier avec leur propre nom d'utilisateur et mot de passe, puis modifiaient ce dont ils avaient besoin directement sur le serveur. Leur fichier a "apache" défini comme utilisateur alors que tous les autres fichiers sur notre site ont un nom d'utilisateur différent. Maintenant, je dois comprendre comment ils ont physiquement récupéré ce fichier sur notre système. Je soupçonne que notre responsable Web (Media Temple) en sera responsable,