Vă mulțumim pentru susținere

Site-ul meu a fost hacked .. Ce ar trebui să fac?

Tata ma sunat astăzi și a spus că oamenii care merg la site-ul său au primit 168 de virusi care încearcă să se descarce pe calculatoarele lor. El nu este deloc tehnic și a construit totul cu un editor WYSIWYG.

I popped his site open and viewed the source, and there was a line of Javascript includes at the bottom of the source right before the closing HTML tag. They included this file (among many others): http://www.98hs.ru/js.js <-- TURN OFF JAVASCRIPT BEFORE YOU GO TO THAT URL.

Așa că am comentat-o ​​deocamdată. Se pare că parola lui FTP a fost un cuvânt de dicționar simplu, lung de șase litere, deci credem că așa a fost hacked. Ne-am schimbat parola la un șir de caractere non-cuvânt cu 8 cifre (nu va merge pentru o expresie de acces, deoarece este un vânătoare-n-peck typer).

Am făcut o whois pe 98hs.ru și am constatat că este găzduit de un server din Chile. Există de fapt și o adresă de e-mail asociată cu ea, dar mă îndoiesc serios că această persoană este vinovatul. Probabil doar un alt site care a fost hacked ...

Nu am nici o idee ce să fac în acest moment, deși nu am mai avut de-a face cu astfel de lucruri înainte. Oricine are sugestii?

Foloseste ftp simplu jane unsa-secured prin webhost4life.com. Nici măcar nu văd o modalitate de a face sftp pe site-ul lor. Mă gândesc că numele de utilizator și parola lui au fost interceptate?

Deci, pentru a face acest lucru mai relevant pentru comunitate, care sunt pașii pe care ar trebui să-i luați / cele mai bune practici pe care ar trebui să le urmați pentru a vă proteja site-ul de a nu fi hackat?

Pentru înregistrare, aici este linia de cod care a fost adăugat "magic" în fișierul său (și nu este în fișierul său pe computerul său - l-am lăsat comentat doar pentru a fi sigur că nu va face nimic pe această pagină, deși sunt sigur că Jeff s-ar proteja împotriva acestui lucru):


0
adăugat editat
Doar fwiw, webhost4life are sftp la portul 2222.
adăugat autor ruffin

8 răspunsuri

Știu că acest lucru este cam târziu în joc, dar adresa URL menționată pentru JavaScript este menționată într-o listă de site-uri despre care se știe că a făcut parte din reluarea botului ASPRox, care a început în iunie (cel puțin atunci când am fost marcată cu aceasta). Unele detalii despre acesta sunt menționate mai jos:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Lucrul urât despre asta este că, în mod eficient fiecare câmp de tip varchar din baza de date este "infectat" pentru a scuipa o referință la această adresă URL, în care browserul primește un iframe mic care îl transformă într-un bot. O corecție SQL de bază pentru acest lucru poate fi găsită aici:

http://aspadvice.com/blogs/programming_shorts/ arhiva / 2008/06/27 / Asprox-Recovery.aspx

Totuși, lucrurile înfricoșătoare arată că virusul privește la tabelele de sistem pentru a infecta valori și că o mulțime de planuri de găzduire partajată împart spațiul bazei de date pentru clienții lor. Deci, cel mai probabil nu a fost chiar site-ul tatalui dvs. care a fost infectat, dar site-ul altcuiva din clusterul său de găzduire care a scris un cod slab și a deschis ușa atacului SQL Injection.

Dacă nu a făcut-o încă, aș trimite un e-mail URGENT gazdei lor și le voi da o legătură cu acel cod SQL pentru a repara întregul sistem. Puteți rezolva propriile tabele de baze de date afectate, dar, cel mai probabil, boții care fac infecția vor trece chiar prin acea gaură din nou și vor infecta întregul lot.

Sperăm că acest lucru vă oferă mai multe informații cu care să lucrați.

EDIT: Un gând mai rapid, dacă folosește unul dintre instrumentele de design on-line pentru construirea site-ului său web, tot conținutul este probabil așezat într-o coloană și a fost infectat în acest fel.

0
adăugat

Menționați că tatăl dvs. folosea un instrument de publicare a site-urilor web.

Dacă instrumentul de publicare publică de la computerul său la server, este posibil ca fișierele sale locale să fie curate și că trebuie doar să republiceze pe server.

El ar trebui să vadă dacă există o metodă de conectare diferită la serverul său decât FTP simplu, deși ... nu este foarte sigur deoarece trimite parola ca text clar pe internet.

0
adăugat

Încercați și adunați cât mai multe informații puteți. Vedeți dacă gazda vă poate da un jurnal care să arate toate conexiunile FTP care au fost efectuate în contul dvs. Puteți să le utilizați pentru a vedea dacă a fost chiar o conexiune FTP care a fost utilizată pentru a face schimbarea și, eventual, a obține o adresă IP.

Dacă utilizați un software pre-ambalat, cum ar fi Wordpress, Drupal sau orice altceva pe care nu l-ați codificat, există vulnerabilități în codul de încărcare care permit acest tip de modificare. Dacă este construit personalizat, verificați dublu locurile în care permiteți utilizatorilor să încarce fișiere sau să modifice fișierele existente.

Cel de-al doilea lucru ar fi să luați un șanț al site-ului așa cum este și să verificați totul pentru alte modificări. Poate că ar fi o singură modificare pe care au făcut-o, dar dacă au intrat prin intermediul FTP, care știe ce altceva se află acolo.

Reveniți site-ul înapoi la o stare bună cunoscută și, dacă este necesar, faceți upgrade la cea mai recentă versiune.

Există un nivel de returnare pe care trebuie să-l țineți cont. Este daunele în valoare de încercarea de a urmări persoana în jos sau este acest lucru în cazul în care tu doar locuiți și să învețe și să utilizeze parole mai puternice?

0
adăugat

Cu o parolă de caractere de șase cuvinte, el poate fi forțat brutal. Acest lucru este mult mai probabil decât interceptarea lui ftp, dar ar putea fi și asta.

Începeți cu o parolă mai puternică. (8 caractere sunt încă destul de slabe)

Vedeți dacă acest link către un blog de securitate este de ajutor.

0
adăugat

Este site-ul HTML simplu static? adică nu a reușit să codifice o pagină de încărcare care să permită nimănui să conducă vehicule prin uploadarea de script-uri / pagini compromise?

De ce nu cereți webhost4life dacă au la dispoziție jurnale FTP și le raportează problema. Nu știți niciodată, pot fi destul de receptivi și de a afla exact ce sa întâmplat?

Lucrez pentru un loc de întâlnire comun și întotdeauna am întâmpinat rapoarte precum acestea și, de obicei, pot identifica vectorul exact al atacurilor pe baza și sfătuiesc în legătură cu situația în care clientul a greșit.

0
adăugat

Am fost hackeri de la aceiași băieți aparent! Sau boti, în cazul nostru. Au folosit injectarea SQL în URL-ul pe unele site-uri vechi ASP clasice pe care nimeni nu le mai întreține. Am găsit atacuri IP și le-am blocat în IIS. Acum trebuie să refacem toate ASP vechi. Deci, sfatul meu este să aruncați o privire mai întâi la jurnalele IIS, pentru a afla dacă problema este în configurația codului sau serverului site-ului dvs.

0
adăugat

Deconectați serverul web fără să îl închideți pentru a evita scripturile de închidere. Analizați hard diskul printr-un alt computer ca unitate de date și vedeți dacă puteți determina pe cineva vinovat prin fișiere log și lucruri de acest gen. Verificați dacă codul este sigur și apoi restaurați-l dintr-o copie de rezervă.

0
adăugat

Acest lucru sa întâmplat cu un client de-al meu recent care a fost găzduit pe ipower. Nu sunt sigur dacă mediul dvs. de găzduire a fost bazat pe Apache, dar dacă a fost sigur că ați verificat dublu fișierele .htaccess pe care nu le-ați creat, în special deasupra roboții web și în interiorul directoarelor de imagini, deoarece acestea tind să injecteze ceva (ei au redirecționat oamenii în funcție de locul în care au venit din referință). Verificați, de asemenea, orice ați creat pentru codul pe care nu l-ați scris.

0
adăugat