Como meu site pode ser invadido

Navegue suas respostas
6

Eu me pergunto como isso poderia acontecer. Alguém excluiu meus arquivos index.php de todos os meus domínios e colocou seus próprios arquivos index.php com a próxima mensagem:

Hacked by Z4i0n - Fatal Error - 2009
[Fatal Error Group Br]
Site desfigurado por Z4i0n
Somos: Elemento_pcx - s4r4d0 - Z4i0n - Belive
Gr33tz: W4n73d - M4v3rick - Observing - MLK - l3nd4 - Soul_Fly
2009

Meu domínio tem muitos subdomínios, mas apenas os subdomínios que podem ser acessados com um usuário específico foram invadidos. O restante não foi afetado.

Presumi que alguém entrou pelo SSH, porque alguns desses subdomínios estão vazios e o Google não sabe sobre eles. Mas verifiquei o log de acesso usando o comando last , mas isso não mostrou atividade por SSH ou FTP no dia do ataque, nem sete dias antes.

Eu já mudei minhas senhas. O que você me recomenda fazer?

UPDATE

Meu site está hospedado em Dreamhost . Eu suponho que eles tenham os últimos patches instalados. Mas, enquanto eu estava olhando como eles entraram no meu servidor, eu encontrei coisas estranhas. Em um dos meus subdomínios, havia muitos scripts para executar comandos no servidor, fazer upload de arquivos, enviar massa e-mails e exibir informações comprometedoras. Esses arquivos foram criados desde dezembro do ano passado

Eu deletei esses arquivos e estou procurando por arquivos mais maliciosos.

Talvez a segurança seja uma aplicação PHP antiga e esquecida. Este aplicativo tem um formulário de upload de arquivo protegido por um sistema de senha baseado em sessões. Um dos scripts maliciosos estava no diretório de uploads. Isso não parece ser um ataque Injeção de SQL .

    
por kiewic 30.08.2009 / 00:56

7 respostas

19

Restaurar de backups em bom estado. Caso contrário, você pode ter que limpar e reinstalar. Uma boa regra é NUNCA confiar em um sistema depois de ter sido comprometido. Há muita chance de que os binários tenham sido substituídos para ocultar uma carga útil ou backdoor.

Quanto ao como, pode ter sido um ataque de injeção de SQL. Ou alguma outra maneira. Você estava executando tudo com os últimos patches?

Este link é de uma cache de um corte aparente no twit.tv (acho que é This Week Em Tech). Se você procurar no Google a frase, você receberá vários hits. Sempre que houver um ataque em massa por script, você encontrará conversas em fóruns diferentes para discuti-lo.

Mais uma vez ... NÃO CONFIE NO SISTEMA. Você provavelmente deve limpar e reinstalar as informações do banco de dados de um backup anterior ... essa é a rota mais segura.

    
por 30.08.2009 / 01:46
2

É bem provável que esse tenha sido um ataque automatizado contra algum script ou módulo de terceiros que você esteja usando e que tenha uma vulnerabilidade. A mesma coisa aconteceu com meus amigos usando scripts de upload de terceiros mal escritos.

    
por 30.08.2009 / 02:57
2

É muito fácil ser hackeado. Você estava fazendo o seguinte:

  • mantidos sistemas corrigidos
  • tinha senhas complexas para todas as contas (8+ caracteres, incluindo Unicode)
  • todas as portas foram bloqueadas na rede
  • servidores endurecidos
  • desativou contas desnecessárias / não usadas
  • não fez o download de atualizações / correções para algo que não seja do fornecedor oficial?
  • garantiu que todos os aplicativos sejam prova de script / injeção de SQL

Se você não fez, pelo menos, todos os itens acima, está pedindo para ser hackeado - é só uma questão de tempo.

Além disso, se você estava executando o Apache ... Acabei de ler um artigo sobre um servidor Apache sendo invadido. A implicação é que todos os downloads do Apache poderiam ter sido comprometidos. Eu apenas desnatado o artigo como eu não uso Apache, mas ainda a implicação potencial é enorme ... Apenas no caso de você não acreditar em mim - aqui é o link .

E, como nota final, presumo que toda a sua rede está comprometida. Não apenas a máquina está comprometida, todas as máquinas que a máquina comprometida teve acesso estão comprometidas. Eu limparia e reinstalaria tudo o que foi comprometido ou tocado pela máquina comprometida ...

    
por 30.08.2009 / 01:55
1

Se você procurar no Google "Hacked by Z4i0n", verá muitos sites que foram invadidos por essas pessoas (talvez um deles seja seu ...). De qualquer forma, é muito provável que sua rede tenha sido convertida em máquinas zumbis. Esse cara tem muitas máquinas convertidas. Em algum momento no futuro, seja com base no tempo ou com base no sinal, seus servidores serão usados para atacar outros sistemas e máquinas.

Parabéns - sua postagem está na primeira página dos resultados do Google!

Este não é um ataque de injeção de SQL. O hacker tem um script para farejar sua configuração (sistema operacional e servidor da web) e está atacando sites que têm uma vulnerabilidade que ele é capaz de aproveitar. Provavelmente, essa vulnerabilidade existe porque você não seguiu os procedimentos padrão para proteger um servidor externo.

Minha recomendação para você é que seus sites sejam hospedados por um grupo com segurança. Se você quer ser auto-suficiente, aprenda sobre medidas de segurança e endurecimento, e tente novamente depois que você se sentir melhor equipado (pelo menos 2-3 meses de aprendizado antes de você). BTW - mesmo depois de aprender sobre segurança e seguir todas as orientações sugeridas, você ainda estará vulnerável - será preciso muito mais esforço na parte dos hackers ...

    
por 30.08.2009 / 17:36
0

Pesquise hits para _vti_bin / _vti_aut / author.dll em seu arquivo de log. Em seguida, desative as extensões de servidor do FrontPage no seu servidor IIS. O agente do usuário core-project / 1.0 parece ser uma ferramenta de desfiguração que usa o FPSE, provavelmente com credenciais padrão.

    
por 16.04.2010 / 16:51
0

Você deve executar uma varredura de vulnerabilidades em seu servidor - isso ajudará você a identificar os possíveis buracos expostos. Existem alguns scanners on-line que oferecem créditos gratuitos e você pode fazer uma verificação de segurança gratuita, tente link text

    
por 18.04.2010 / 09:45
0

Existem muitas maneiras de atacar um site, mas não é possível atendê-las constantemente se você for uma pequena empresa, então a melhor coisa a seguir é tentar cobrir os furos mais comuns, como os descritos neste artigo, e espero que adie o atacante pretendido.

Nós usamos um scanner de sistema de arquivos automatizado chamado Eyefile. É bom para detectar qualquer tipo de injeção de backdoor - como a que foi executada no seu servidor - e funciona para qualquer tipo de site.

Pode ser encontrado aqui: link

    
por 05.12.2014 / 21:50

Tags

Como evitar que usuários normais desliguem o sistema? Gerar dinamicamente entradas do Host SSH em ~ / .ssh / config