Hamilton Bohannon - Disco Stomp No.6 3. uge marts 1975 UK

Jeg lider af et spamhack, hvor mit websted med jævne mellemrum viser Viagra-spam til Google og andre edderkopper. Metoden til hackingen er grundlæggende, at min .htaccess-fil bliver ændret til at dirigere alle anmodninger gennem en fil kaldet "common.php", som er en stor del af base64-kodet ondskab.

Jeg har bemærket, at det sker ugentligt: ​​hver gang jeg fjerner de hackede filer, dukker det op igen et par dage senere. Dette er de trin, jeg allerede har taget for at sikre ting:

  • Ændret min FTP-adgangskode

  • Scannede mine (shared hosting) mapper for verdensskrivelige (777) filer / mapper og ændrede dem til 755 eller noget mere passende

  • Fjernede gamle kopier af Wordpress fra ubrugte mapper (selve webstedet er en skræddersyet PHP CodeIgniter-app)

  • Downloadede hele siden til min lokale boks og scannede mapperne for forekomster af strenge som "base64" og ".ru" (spam-domæner?).

Jeg er lidt usikker på, hvad jeg skal gøre, da problemet stadig synes at være der. Er der en smart shell-kommando, jeg kan køre for at finde ud af, hvordan disse filer uploades? Da jeg sidst tjekkede, blev .htaccess-filen redigeret i dag af min egen FTP-bruger på trods af at jeg skiftede adgangskoden for en uge siden og loggede af alle indloggede brugere. Jeg lader det ikke være logget ind på offentlige maskiner, og et par andre administratorer af webstedet har endnu ikke fået den nye adgangskode.

Eventuelle tip / ideer modtaget med tak. Jeg er glad for at levere output af eventuelle specifikke kommandoer efter behov.

Matt

  • 2 Har du sørget for, at ethvert filskrivningsforsøg på dit CMS renses, når det afhænger af brugerinput?
  • Nå, jeg bruger CodeIgniters inputklasse, som har sikkerhedsfiltrering indbygget og XSS-filtrering: codeigniter.com/user_guide/libraries/input.html - kan dog være noget risikabelt. Problemet er, at jeg ikke kan finde shell-scriptet eller hvad der gør det.

Hvis din webhost giver SSH / SCP / SFTP-adgang, skal du kontrollere, om der er uventede poster i din .ssh/authorized_keys fil i dit hjemmekatalog. (Hvis du ikke selv har tilføjet nogen nøgler, eksisterer filen ikke engang.)

Da du nævnte, at du bruger WordPress, kan disse instruktioner også være nyttige.

Endelig skal du sandsynligvis kontakte din hostingudbyder og fortælle dem, hvad der skete - det er også i deres interesse at beskytte dit websted. De kan muligvis hjælpe dig med at rette sikkerhedshuller, du ikke tænkte på, og de kan også hjælpe dig med at overvåge dit websted (f.eks. Via webserveradgangslogfiler) for at opdage fremtidige hackingsforsøg.

Det er meget godt muligt, at nogen fik adgang til selve serveren. Da det er en delt hosting, er dette ikke nødvendigvis via dit websted, problemet kan være hvert websted, der hostes på denne server.

I dette tilfælde ville du ikke være i stand til at gøre meget, fordi angriberen har de samme privilegier som dig eller endnu mere. Under alle omstændigheder vil jeg informere din udbyder, at han skal være i stand til at forhindre yderligere angreb.

  • 1 Hvis andre brugere af din delte webhost kan få adgang til dine filer, skal du enten a) rette dine filtilladelser eller, hvis det ikke hjælper, b) skifte til en mere kompetent hostingudbyder.
  • @Ilmari Karonen - Faktisk mistænker jeg ikke andre brugere af serveren, snarere tror jeg, at en angriber muligvis har fået administratorrettigheder på grund af et sikkerhedshul på et websted, der er hostet på den samme server. Og ja, udbyderen skal sørge for, at dette ikke kan ske.
  • OK, fair nok. Hvis serveren er rodfæstet, er der faktisk intet, du kan gøre, undtagen at advare din hostingudbyder ASAP og håber, de kan ordne det.

Jeg bruger websitedefender.com på et antal af de sider, jeg administrerer, da det understøtter wordpress sammen med andre typer af websteder og i øjeblikket er gratis - det har været meget effektivt til hurtigt at få øje på infektioner og hjælpe med at låse ned.

arbejdet for dig: Charles Robertson | Ønsker du at kontakte os?