我的网站主机通知我,他们从美国银行得到一个投诉,说我的经销商(WHM)帐户下的一个帐户被一名networking钓鱼者入侵。 一旦主机取消了我的帐户,我试图找出这个帐户如何被入侵,但无法弄清楚。
我假设如果钓鱼者以某种方式获取密码,那么他们会做更多的损害,所以我目前的思路是在cpanel / .htaccess等的某种脆弱性?
networking钓鱼者制作了一个子网站和一个假冒网站的文件夹,捕获银行信息并通过电子邮件发送给自己。
我的问题是,这个钓鱼者如何让这个账户上传他的文件呢? (或者他可能利用哪些弱点)
如果你在一个股票cPanel系统有三个或四个可能的载体,我会检查并试图排除:
1)黑客有你的ftp密码,并使用它来上传修改后的文件。 如果发生这种情况,您的主机应该有日志显示这个和远程IP地址用来做到这一点。 如果你的主机不能告诉你,我会find一个新的主机。
2)他们是否通过不同的界面(SCP,WebDAV)修改您的网站? 主机应该能够显示一些日志。
3)有没有允许文件访问的脚本? 你的主机应该能够指向显示这个的日志。
4)在cPanel中有一些特权升级或跨代销商账户攻击。 可以遵循符号链接,WebDAV错误和其他攻击可能允许黑客利用另一个帐户,然后将内容上传到您的网站。
在所有这些情况下,你的主人应该走过你。