惡意軟體感染類型:SQL 植入

在 Google Search Console 中,有標示惡意軟體感染類型為「SQL 植入」的網頁代表什麼意思?

SQL 植入代表網站資料庫可能已遭到入侵。舉例來說,駭客可能以程式設計方式,將惡意程式碼插入資料庫表格的每筆紀錄。之後當伺服器載入的網頁需擷取資料庫資訊時,惡意程式碼就會趁機嵌入網頁內容,進而可能對網站的訪客造成損害。

如需更多惡意軟體的一般性資訊,請參閱評估損害 (惡意軟體入侵)

如何調查「SQL 植入」這類惡意軟體類型?

首先,請避免使用瀏覽器查看網站上遭感染的網頁。惡意軟體常會透過瀏覽器的漏洞進行散佈,所以在瀏覽器中開啟遭惡意軟體感染的網頁,可能會使您的電腦受損。

建議您使用 cURLWget 執行 HTTP 要求 (例如擷取網頁) 進行確認。這些免費工具可協助診斷重新導向,甚至將推薦連結或使用者代理程式的資訊納入診斷條件。駭客可能會限制惡意內容的顯示對象,只有經由特定使用者代理程式或推薦連結瀏覽的使用者能看到惡意內容。透過這種方式,駭客不僅可以鎖定更多「真正的使用者」,還能避免網站擁有者和惡意軟體掃描器的偵測 (您的網站必須上線才能使用這些工具)。

例如:
$curl -v --referer <參照網址欄位> --user-agent "Mozilla/5.0 
  (Macintosh;Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML,如 Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <您的網址>
例如:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh;Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML,如 Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

從 Wget 或 cURL 輸出的結果中,檢查是否有「iframe」或「eval」這類可能由網路犯罪份子置入的字詞。

接下來,請登入您的資料庫伺服器或使用工具 (例如 phpMyAdmin) 查看資料庫。如果您使用 Wget 或 cURL,請透過 Wget 或 cURL 將網址原始碼中顯示的損害與實際的資料庫項目建立關聯。舉例來說,如果您發現網頁含有危險的 iframe,可以執行 SQL 查詢搜尋 iframe 程式碼。例如:

SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%'; 

您也可以查看伺服器的資料庫紀錄和錯誤檔案,瞭解是否有不正常的活動,例如對一般使用者或錯誤而言看起來不太正常的 SQL 指令。

如何針對惡意軟體類型為「SQL 植入」的網站進行清理?

當您準備開始清理網站時,可以選擇更新每一筆受到感染的資料庫紀錄,或是還原最後一個已知資料庫備份。

請注意,移除惡意程式碼並不能解決漏洞的根本原因,這也是駭客最初能入侵網站的依據。不修正根本原因,您的網站未來就可能再次遭到入侵。如需進一步瞭解如何修復受駭網站,請參閱受駭網站修復程序的說明

這對您有幫助嗎?
我們應如何改進呢?