Site-ul meu a fost hacked .. Ce ar trebui să fac?

Știu că acest lucru este cam târziu în joc, dar adresa URL menționată pentru JavaScript este menționată într-o listă de site-uri despre care se știe că a făcut parte din reluarea botului ASPRox, care a început în iunie (cel puțin atunci când am fost marcată cu aceasta). Unele detalii despre acesta sunt menționate mai jos:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Lucrul urât despre asta este că, în mod eficient fiecare câmp de tip varchar din baza de date este "infectat" pentru a scuipa o referință la această adresă URL, în care browserul primește un iframe mic care îl transformă într-un bot. O corecție SQL de bază pentru acest lucru poate fi găsită aici:

http://aspadvice.com/blogs/programming_shorts/ arhiva / 2008/06/27 / Asprox-Recovery.aspx

Totuși, lucrurile înfricoșătoare arată că virusul privește la tabelele de sistem pentru a infecta valori și că o mulțime de planuri de găzduire partajată împart spațiul bazei de date pentru clienții lor. Deci, cel mai probabil nu a fost chiar site-ul tatalui dvs. care a fost infectat, dar site-ul altcuiva din clusterul său de găzduire care a scris un cod slab și a deschis ușa atacului SQL Injection.

Dacă nu a făcut-o încă, aș trimite un e-mail URGENT gazdei lor și le voi da o legătură cu acel cod SQL pentru a repara întregul sistem. Puteți rezolva propriile tabele de baze de date afectate, dar, cel mai probabil, boții care fac infecția vor trece chiar prin acea gaură din nou și vor infecta întregul lot.

Sperăm că acest lucru vă oferă mai multe informații cu care să lucrați.

EDIT: Un gând mai rapid, dacă folosește unul dintre instrumentele de design on-line pentru construirea site-ului său web, tot conținutul este probabil așezat într-o coloană și a fost infectat în acest fel.

Menționați că tatăl dvs. folosea un instrument de publicare a site-urilor web.

Dacă instrumentul de publicare publică de la computerul său la server, este posibil ca fișierele sale locale să fie curate și că trebuie doar să republiceze pe server.

El ar trebui să vadă dacă există o metodă de conectare diferită la serverul său decât FTP simplu, deși ... nu este foarte sigur deoarece trimite parola ca text clar pe internet.

Încercați și adunați cât mai multe informații puteți. Vedeți dacă gazda vă poate da un jurnal care să arate toate conexiunile FTP care au fost efectuate în contul dvs. Puteți să le utilizați pentru a vedea dacă a fost chiar o conexiune FTP care a fost utilizată pentru a face schimbarea și, eventual, a obține o adresă IP.

Dacă utilizați un software pre-ambalat, cum ar fi Wordpress, Drupal sau orice altceva pe care nu l-ați codificat, există vulnerabilități în codul de încărcare care permit acest tip de modificare. Dacă este construit personalizat, verificați dublu locurile în care permiteți utilizatorilor să încarce fișiere sau să modifice fișierele existente.

Cel de-al doilea lucru ar fi să luați un șanț al site-ului așa cum este și să verificați totul pentru alte modificări. Poate că ar fi o singură modificare pe care au făcut-o, dar dacă au intrat prin intermediul FTP, care știe ce altceva se află acolo.

Reveniți site-ul înapoi la o stare bună cunoscută și, dacă este necesar, faceți upgrade la cea mai recentă versiune.

Există un nivel de returnare pe care trebuie să-l țineți cont. Este daunele în valoare de încercarea de a urmări persoana în jos sau este acest lucru în cazul în care tu doar locuiți și să învețe și să utilizeze parole mai puternice?

Cu o parolă de caractere de șase cuvinte, el poate fi forțat brutal. Acest lucru este mult mai probabil decât interceptarea lui ftp, dar ar putea fi și asta.

Începeți cu o parolă mai puternică. (8 caractere sunt încă destul de slabe)

Vedeți dacă acest link către un blog de securitate este de ajutor.

Este site-ul HTML simplu static? adică nu a reușit să codifice o pagină de încărcare care să permită nimănui să conducă vehicule prin uploadarea de script-uri / pagini compromise?

De ce nu cereți webhost4life dacă au la dispoziție jurnale FTP și le raportează problema. Nu știți niciodată, pot fi destul de receptivi și de a afla exact ce sa întâmplat?

Lucrez pentru un loc de întâlnire comun și întotdeauna am întâmpinat rapoarte precum acestea și, de obicei, pot identifica vectorul exact al atacurilor pe baza și sfătuiesc în legătură cu situația în care clientul a greșit.

Am fost hackeri de la aceiași băieți aparent! Sau boti, în cazul nostru. Au folosit injectarea SQL în URL-ul pe unele site-uri vechi ASP clasice pe care nimeni nu le mai întreține. Am găsit atacuri IP și le-am blocat în IIS. Acum trebuie să refacem toate ASP vechi. Deci, sfatul meu este să aruncați o privire mai întâi la jurnalele IIS, pentru a afla dacă problema este în configurația codului sau serverului site-ului dvs.

Deconectați serverul web fără să îl închideți pentru a evita scripturile de închidere. Analizați hard diskul printr-un alt computer ca unitate de date și vedeți dacă puteți determina pe cineva vinovat prin fișiere log și lucruri de acest gen. Verificați dacă codul este sigur și apoi restaurați-l dintr-o copie de rezervă.

Acest lucru sa întâmplat cu un client de-al meu recent care a fost găzduit pe ipower. Nu sunt sigur dacă mediul dvs. de găzduire a fost bazat pe Apache, dar dacă a fost sigur că ați verificat dublu fișierele .htaccess pe care nu le-ați creat, în special deasupra roboții web și în interiorul directoarelor de imagini, deoarece acestea tind să injecteze ceva (ei au redirecționat oamenii în funcție de locul în care au venit din referință). Verificați, de asemenea, orice ați creat pentru codul pe care nu l-ați scris.