La modifica recente si aggiunge a tutti i file javascript

C'è una domanda canonica intitolata "Come faccio a trattare con un server compromesso? ". Dato che sei su un host condiviso, ci sono alcune limitazioni a ciò che puoi fare. Consiglio vivamente di leggere la risposta completa accettata.

Qui di seguito discuterò di come questo si applica alla tua situazione (ad esempio su un hosting condiviso). Le citazioni provengono dalla risposta citata.

1. Abbassa il tuo sito.

Whatever other problems you have, leaving the system connected to the web will only allow the attack to continue.

Non puoi sapere con certezza di aver rimosso tutte le infezioni. In questo preciso istante potresti diffondere il malware ai tuoi utenti!

2. Controllo dei danni.

Change all your passwords for all accounts on all computers that are on the same network as the compromised systems.

Check your other systems. Pay special attention to other Internet facing services, and to those that hold financial or other commercially sensitive data.

If the system holds anyone's personal data, immediately inform the person responsible for data protection (if that's not you) and URGE a full disclosure.

3. Cerca di capire cosa è successo.

Se rimetti il tuo sito come prima, la stessa cosa si ripeterà di nuovo. Devi cercare di capire cosa è andato storto.

Con l'hosting condiviso questo può essere difficile, dal momento che è possibile che gli hacker abbiano sfruttato un exploit nel software server stesso o in qualche altro account. Dovrai contattare il tuo fornitore di servizi di hosting e convincerli ad aiutarti con questo. Non si può dare per scontato che collaboreranno. Se non lo fanno, ti consiglio di leggere il tuo contratto e possibilmente contattare un avvocato per scoprire quali sono i tuoi diritti.

Tuttavia, puoi esaminare alcune cose da solo, ovvero il tuo sito. Passa attraverso tutto il software che esegui (WordPress, Magento ecc.). Stai utilizzando le ultime versioni? Stai usando qualche plugin? Ci sono dei problemi di sicurezza noti nelle versioni o nei plugin che stai utilizzando? Soprattutto i plug-in di WordPress sono frequenti criminali quando si tratta di sicurezza.

C'è un po 'di forense limitato che puoi fare da solo. Se si dispone di backup, confrontarli per vedere quali file sono stati modificati e a che ora. Il codice JavaScript iniettato che hai scoperto potrebbe non essere l'unica cosa che gli aggressori hanno cambiato. Potrebbero esserci state più modifiche in più occasioni (probabilmente da più aggressori), quindi non puoi sapere con certezza che la data in cui i file JavaScript sono stati modificati sia stata la data della violazione iniziale.

Specialmente se esegui molto del tuo codice, potresti voler eseguire un pentest più dettagliato per trovare eventuali vulnerabilità.

4. Prendi in considerazione il nuovo hosting.

Specialmente se la violazione era "colpa loro" o non ti hanno aiutato a determinare la causa della violazione, potrebbe essere il momento di passare al nuovo hosting. Come altri hanno già menzionato, un VPS è più sicuro, ma può anche richiedere un maggiore sforzo da parte tua per eseguire.

5. Riavvia il sito.

Ripristina i file statici da un backup prima della violazione. Reinstallare tutto il software e utilizzare solo le ultime versioni. Quindi non copiare semplicemente incollare i file dalla vecchia installazione vulnerabile di WordPress sul server da un backup.

E ovviamente, risolvi eventuali problemi scoperti durante il passaggio # 3.

OK, cercherò di concentrarmi sulla parte di "who".

My question is is there a way to see who and how was able to edit these files?

Dipende, ma quello che puoi fare è seguire:

• analizzare i log del server (auth, apache, ftp ecc.)
• mentre stai analizzando i log, tieni a mente se c'è qualche tipo di informazione sulla fase di pre-attacco (a volte gli attaccanti stanno facendo 'errore' e dimenticano di nascondere le loro informazioni, mentre raccolgono informazioni) - questo può essere utile
• analizza i messaggi, se c'è qualcosa di sospetto nel contenuto (forse hanno fatto una cosa di ingegneria sociale)
• analizza i file caricati (dati exif)
• e infine controlla se hanno lasciato una pagina di deturpazione con le loro email, facebook, twitter, nickname, nickname degli amici ecc.:)

Sulla base di tutte le informazioni, fai un semplice rapporto e ora tocca a te raccogliere informazioni su di lui.

In sostanza, dovresti esaminare l'analisi forense del server, che avrebbe un aspetto molto dettagliato in tutti i registri di accesso, i log degli errori, i file con data e ora imprevisti e così via, cercando il metodo specifico utilizzato in questo caso . Ciò dovrebbe essere effettuato a livello di server per poter essere utile, cosa che normalmente non sarebbe possibile con un provider di hosting condiviso.

In questo caso, tutto ciò che puoi controllare è il tuo sito - puoi eseguire una verifica del software o un test di penetrazione (con il consenso del proprietario del server) e vedere se ci sono problemi specifici all'interno di questo. Tuttavia, poiché si tratta di un server condiviso, potrebbero verificarsi problemi in altri siti sullo stesso sistema che non possono essere modificati. In tal caso, la tua unica opzione sarebbe quella di passare a un altro provider - idealmente un VPS, dove è presente solo il tuo codice. Esistono vari provider VPS gestiti, anche se tendono ad essere più costosi rispetto ai provider di hosting condiviso, dal momento che i requisiti delle risorse sono più elevati.