惡意軟體感染類型:伺服器設定

在 Search Console 中,有標示惡意軟體感類型為「伺服器設定」的網址代表什麼意思?

這代表駭客已經入侵您的網站,且很有可能已竄改您伺服器的設定檔,藉此將使用者從運作正常的網站重新導向至會受到惡意軟體攻擊的網站。伺服器設定檔一般的用途,就是讓網站管理員為網站上的特定網頁或目錄,指定重新導向至的網址。以 Apache 伺服器為例,指的就是 htaccess 和 httpd.conf 檔案。

如需更多一般性資訊,以便瞭解網站遭到入侵後如何被用來散佈惡意軟體,請參閱評估損害 (惡意軟體入侵)

如何確認「伺服器設定」這類惡意軟體類型的重新導向行為?

首先,請請避免使用瀏覽器查看網站上遭感染的網頁。惡意軟體常會透過瀏覽器的漏洞進行散佈,所以在瀏覽器中開啟遭惡意軟體感染的網頁,可能會使您的電腦受損。

建議您使用 cURLWget 執行 HTTP 要求 (例如擷取網頁) 進行確認。這些免費工具可協助診斷重新導向,甚至將推薦連結或使用者代理程式的資訊納入診斷條件。駭客可能會限制惡意內容的顯示對象,只有經由特定使用者代理程式或推薦連結瀏覽的使用者能看到惡意內容。透過這種方式,駭客不僅可以鎖定更多「真正的使用者」,還能避免網站擁有者和惡意軟體掃描器的偵測 (您的網站必須上線才能使用這些工具)。例如:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh;Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML,如 Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
例如
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh;Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML,如 Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
擷取感染類型為「伺服器設定」的網頁時,可能會傳回下列標頭:
...
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

如何針對惡意軟體類型為「伺服器設定」的網站進行清理?

透過殼層/終端機存取登入伺服器 (您可視情況讓網站處於離線狀態),並且檢視相關的伺服器設定檔。您網站上遭到駭客竄改的伺服器設定檔可能不止一個。檢查這些檔案是否存有不必要的指令 (例如重新導向),駭客可藉此竄改您的網站設定,將訪客重新導向至會受到惡意軟體攻擊的未知網站。例如在 .htaccess 中:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
其他注意事項:
  • 請務必徹底檢查整個檔案,以免駭客為了不讓您發現,刻意將程式碼加在檔案結尾。
  • 盡可能調查駭客專為持續更新 .htaccess 檔案所建立的 cron 作業。Cron 作業會列在數個位置,包括 /etc/crontab (以及許多 /etc/cron* 目錄) 和 /var/spool/cron

當您準備開始清理網站時,可以選擇使用已知完好的備份替換伺服器設定檔,或是刪除現有檔案中不必要的程式碼。如果需要重新啟動網路伺服器才能夠啟用新的設定檔,請務必記得重新啟動。

清理「伺服器設定」雖有助於修復受駭網站,但是並不能解決漏洞的根本原因,這也是駭客最初能入侵網站的依據 (也是您的網站未來可能再次遭到入侵的原因)。如果您還需要更多關於全面清理網站的資訊,請參閱受駭內容修復說明文件中的惡意軟體入侵相關主題。

這對您有幫助嗎?
我們應如何改進呢?