Qualcuno sta iniettando malware nel mio sito web

Naviga le tue risposte
3

Il mio sito web è stato violato l'anno scorso e qualcuno ha caricato uno script che ha utilizzato tutta la CPU e caricato fino a 30+ fino a quando il nostro provider di hosting ha sospeso temporaneamente l'account, ovvero pochi giorni dopo l'installazione di WordPress (non l'ho fatto Sappiamo che PHP è così vulnerabile all'hacking). Ho dovuto disabilitare molte opzioni in php.ini e dopo non ci sono stati problemi con il mio sito per oltre 300 giorni.

Ma dalle ultime settimane qualcuno sta ancora tentando di diffamare il sito. Carica costantemente malware sul mio sito. Ma la parte peggiore è che il malware non è sempre lì, viene rilevato solo da Google Webmaster anche una volta in pochi giorni. Ho rimosso WordPress, ora è tutto in HTML statico (poiché ritengo che PHP non sia così sicuro) e l'hacker è ancora in grado di iniettare malware una volta in pochi giorni solo per poche ore.

Una pagina viene bloccata da Google Webmaster e non vengono toccate altre pagine. Ho cambiato tutti i miei file HTML e CGI con un permesso diverso. Apache non è in grado di scrivere su nessuna delle cartelle ora, ha rimosso tutti gli script PHP la scorsa settimana e ho pensato che avrebbe dovuto salvaguardare il mio sito web dagli attacchi futuri.

Ma stamattina, quando ho visitato il webmaster di Google, sono rimasto sorpreso nel vedere un avviso sul mio sito Web che ha malware! E anche questo in un file "apk" questa volta.

Domanda:

Quindi la mia domanda è: come mai qualcuno è in grado di caricare un malware che viene scaricato automaticamente quando si accede a un APK! Anche quando non c'è il permesso per lui di scrivere in quella directory!

Ho programmato per gli ultimi 10 anni e questo è oltre me. Nulla nei log di Apache, niente in nessuna cartella. La ricerca di modifica dei file mostra anche che non viene toccato nulla dagli ultimi 10 giorni e tuttavia l'hacker riesce a consentire il download di un malware insieme al mio apk e anche questo solo per poche ore (Quindi inserisce qualcosa e torna a rimuoverlo? )

E il mio sito web non è nemmeno così popolare, non so perché l'hacker sta sprecando il suo tempo e il mio a essere così aggressivo, ma sembra molto motivato mentre lo fa costantemente dagli ultimi 2 mesi.

    
posta Srihari Karanth 30.09.2015 - 07:13
fonte

1 risposta

4

how on earth someone is able to upload a malware which gets downloaded automatically when an APK is accessed! Even when there is no permission for him to write to that directory!

I file potrebbero non essere pubblicati dalla directory che si pensa, ma potrebbero essere nascosti da qualche altra parte. Questo può essere fatto cambiando la configurazione di apache o altri file sul sistema o iniettando il codice nel processo apache stesso. Per ulteriori dettagli leggi su Darkleech o apache binari con backdoor o attacchi recenti contro siti wordpress .

And my website is not even that popular, don't know why the hacker is wasting his time and mine in being so aggressive, but he does seem highly motivated as he is doing this consistently since the last 2 months.

Gli hacker sono sempre alla ricerca di siti che non siano nella lista nera delle soluzioni anti-malware. Non importa quanto siano popolari perché di solito sono solo un passo in una campagna di phishing o di malvertising, cioè l'utente viene indirizzato lì dall'hacker.

Apache cannot write on any of the folders now, removed all PHP scripts last week and I thought that should safeguard my website from future attacks.

Ti suggerisco di reinstallare l'intero sistema e assicurarti che i soliti vettori di attacco siano chiusi (ad esempio password deboli, installazioni di wordpress non sicure, ecc.). Sembra che l'autore dell'attacco abbia compromesso il tuo sistema più profondamente di quanto tu possa pensare.

    
risposta data 30.09.2015 - 07:45
fonte

Leggi altre domande sui tag

LibTomCrypt Strani tasti ECC Quante informazioni possono essere raccolte su una rete senza connessione?