Назад | Перейти на главную страницу

Как можно было взломать мой сайт

Интересно, как такое могло случиться. Кто-то удалил мой index.php файлы со всех моих доменов и ставит свои index.php файлы со следующим сообщением:

Взломан Z4i0n - Неустранимая ошибка - 2009
[Fatal Error Group Br]
Дизайн сайта для Z4i0n
Сомос: Elemento_pcx - s4r4d0 - Z4i0n - Belive
Gr33tz: W4n73d - M4v3rick - Наблюдение - MLK - l3nd4 - Soul_Fly
2009 г.

В моем домене много поддоменов, но были взломаны только те поддомены, к которым может получить доступ конкретный пользователь, остальные не пострадали.

Я предположил, что кто-то вошел через SSH, потому что некоторые из этих поддоменов пусты и Google не знает о них. Но Я проверил журнал доступа с помощью последний команда, но она не показала никакой активности через SSH или FTP в день атаки, ни за семь дней до этого.

Я уже сменил свои пароли. Что вы мне посоветуете делать?

ОБНОВИТЬ

Мой веб-сайт размещен на Dreamhost. Я полагаю, у них установлены последние патчи. Но пока я смотрел, как они вошли на мой сервер, Я нашел странные вещи. В одном из моих поддоменов было много скрипты для выполнения команд на сервере, загрузки файлов, массовой рассылки писем и отображения компрометирующей информации. Эти файлы были создано с декабря прошлого года !!

Я удалил эти файлы и ищу другие вредоносные файлы.

Возможно, удержание безопасности - это старое и забытое приложение PHP. Это приложение имеет форму загрузки файлов, защищенную паролем на основе сеансов. Один из вредоносных скриптов находился в каталоге загрузок. Это не похоже на SQL-инъекция атака.

Восстановление из заведомо исправных резервных копий. В противном случае вам, возможно, придется стереть и переустановить. Хорошее практическое правило - НИКОГДА не доверять системе, если она взломана. Слишком велика вероятность того, что двоичные файлы были заменены, чтобы скрыть полезную нагрузку или бэкдор.

Что касается того, как, возможно, это была атака с использованием SQL-инъекции. Или как-нибудь иначе. Вы запускали все с последними патчами?

Эта ссылка взято из кеша очевидного взлома twit.tv (я думаю, это This Week In Tech). Если вы погуглите эту фразу, вы получите кучу хитов. Каждый раз, когда происходит запланированная массовая атака, вы обнаружите, что ее обсуждают на разных форумах.

Опять же ... НЕ ДОВЕРЯЙТЕ СИСТЕМЕ. Вероятно, вам следует стереть и переустановить, а затем восстановить информацию о базе данных из предыдущей резервной копии ... это самый безопасный путь.

Вполне вероятно, что это была автоматическая атака на какой-то сторонний скрипт или модуль, который вы используете, который имеет уязвимость. То же самое произошло с моими друзьями, использующими плохо написанные сторонние скрипты загрузки.

Взломаться довольно легко. Вы делали все следующее:

  • держал системы исправленными
  • были сложные пароли для всех учетных записей (8+ символов, включая Unicode)
  • все порты заблокированы в сети
  • защищенные серверы
  • отключил ненужные / неиспользуемые аккаунты
  • не скачивали обновления / патчи ни для чего, кроме официального поставщика?
  • гарантирует, что все приложения защищены от сценариев / SQL-инъекций

Если вы не делали хотя бы всего вышеперечисленного, вы просите взлома - это просто вопрос времени.

Кроме того, если вы использовали Apache ... Я только что прочитал статью о взломе сервера Apache. Подразумевается, что все загрузки с Apache могли быть скомпрометированы. Я просто просмотрел статью, так как я не использую Apache, но все же потенциальные последствия ОГРОМНЫ ... На случай, если вы мне не поверили - вот ссылка на сайт.

И в заключение, я предполагаю, что вся ваша сеть скомпрометирована. Взломана не только машина, но и все машины, к которым у взломанной машины был доступ. Я бы стер и переустановил все, что было скомпрометировано или затронуто скомпрометированной машиной ...

Если вы загуглите «Hacked by Z4i0n», вы увидите множество сайтов, которые были взломаны этими людьми (возможно, один из них ваш ...). В любом случае весьма вероятно, что ваша сеть была превращена в машины-зомби. Этот парень переделал много машин. В какой-то момент в будущем, в зависимости от времени или сигнала, ваши серверы будут использоваться для атак на другие системы и машины.

Поздравляем - ваш пост на первой странице результатов Google!

Это не атака с использованием SQL-инъекции. У хакера есть сценарий для обнюхивания вашей установки (ОС и веб-сервера), и он атакует сайты, обладающие уязвимостью, которой он может воспользоваться. Скорее всего, эта уязвимость существует из-за того, что вы не выполнили стандартные процедуры по усилению защиты внешнего сервера.

Я рекомендую вам размещать ваши сайты в группе, заботящейся о безопасности. Если вы действительно хотите быть самодостаточным, узнайте о мерах безопасности и усилении защиты и попробуйте еще раз, когда почувствуете, что лучше подготовлены (по крайней мере, на 2-3 месяца обучения впереди). Кстати - даже после того, как вы узнаете о безопасности и будете следовать всем предлагаемым рекомендациям, вы все равно будете уязвимы - просто со стороны хакеров потребуется гораздо больше усилий ...

Найдите попадания в _vti_bin / _vti_aut / author.dll в вашем файле журнала. Затем отключите серверные расширения FrontPage на своем сервере IIS. Пользовательский агент core-project / 1.0 кажется средством дефейса, использующим FPSE, вероятно, с учетными данными по умолчанию.

Вам следует выполнить сканирование уязвимостей на своем сервере - это поможет вам определить потенциальные дыры, которые вы обнаружили. Есть несколько онлайн-сканеров, которые предлагают бесплатные кредиты, и вы можете выполнить одно бесплатное сканирование безопасности, попробуйте текст ссылки

Существует так много способов атаковать веб-сайт, что просто невозможно обслуживать их все на постоянной основе, если вы небольшая компания, поэтому лучше всего попытаться закрыть наиболее часто встречающиеся дыры, подобные описанным в этой статье и надеюсь, что это отпугнет предполагаемого злоумышленника.

Мы используем автоматический сканер файловой системы Eyefile. Он хорош для обнаружения любого типа бэкдор-инъекции - например, того, который был выполнен на вашем сервере - и работает для любого типа веб-сайта.

Это можно найти здесь: http://www.website-security-tools.com/