Site hackeado - alguma ideia do que fazer, onde procurar?

Question

Site hackeado - alguma ideia do que fazer, onde procurar?

#1 resposta do (5 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)

1

Um site que hospedei foi invadido recentemente. A página de índice tinha o seguinte código adicionado à parte inferior (logo acima da tag body de fechamento):

   <script language="javascript">document.write('<div style="font-family:Tahoma,Arial,Helvetica,sans-serif;font-size:12px;overflow:hidden;color:#FF0000;height:' + (325 * 3 - 974) + 'px;width:' + (18 * 786 - 14147) + 'px;font-weight:bold;margin-top:0px;margin-bottom:0px;">'); </script>

Seguido por ...

Lots and lots of tags going to spammy sites...

Nosso servidor tem o suphp instalado, por isso não acho que possa ter acontecido de outra conta. Esta conta tem o Wordpress instalado, então esse pode ser o problema.

Alguma dica de onde ir a partir daqui?

Obrigado!

security hosting hacking apache-2.2

por Ian Silber 12.08.2010 / 19:58

4 respostas

Tags security hosting hacking apache-2.2

O Apache no localhost precisa ser reiniciado a cada inicialização não pôde ligar o socket enquanto reiniciou o haproxy

score 5 · Answer 1

Chnage seus nomes nomes e senhas do Wordpress e do MySQL. Usando os nomes padrão, você deu aos hackers metade do quebra-cabeça da credencial.

Garanta que seus serviços (PHP, WP, MySQL) estejam atualizados.

Verifique os plug-ins de terceiros quanto a vulnerabilidades e atualizações conhecidas (isso inclui bibliotecas e plug-ins de javascript)

Esse é um bom começo. Ah, e você pode querer começar a ver seus logs um pouco mais perto para ver se consegue identificar como isso está acontecendo, se acontecer de novo.

score 1 · Answer 2

Seus registros provavelmente estão armazenados em / var / log / apache2. Comece a procurar os logs de acesso. Você pode fazer isso manualmente usando o grep ou usar uma ferramenta como apache-scalp para pesquisar seus logs em busca de explorações comuns .

score 0 · Answer 3

Sugiro instalar o módulo mod_security do Apache: link .

Além disso, certifique-se de que o código do aplicativo não seja suscetível a Ataques de injeção SQL .

Verifique também suas regras de firewall e garanta que apenas a porta 80 seja exposta ao público.

score 0 · Answer 4

Alguns tópicos que podem ser úteis: