我不知道这怎么可能发生。有人删除了我的索引.php来自我所有域的文件,并把他自己的索引.php包含下一条消息的文件:
被 Z4i0n 黑客入侵 - 严重错误 - 2009
[严重错误组 Br]
网站由 Z4i0n
设计 我们:Elemento_pcx - s4r4d0 - Z4i0n - Belive
Gr33tz:W4n73d - M4v3rick - 正在观察 -马丁路德金- l3nd4 - Soul_Fly
2009
我的域名有很多子域名,但只有特定用户可以访问的子域名遭到黑客攻击,其余域名未受到影响。
我假设有人通过 SSH 进入,因为其中一些子域是空的,Google 不知道它们。但我使用以下方式检查了访问日志最后的命令,但在攻击当天以及攻击前七天,这并没有显示通过 SSH 或 FTP 的任何活动。
我已经更改了密码。您建议我怎么做?
更新
我的网站托管于Dreamhost。我想他们已经安装了最新的补丁。但是,当我查看它们如何进入我的服务器时,我发现了奇怪的事情。在我的一个子域名中,有很多用于在服务器上执行命令、上传文件、发送群发电子邮件和显示妥协信息的脚本。这些文件已经自去年十二月起创建!!
我已经删除了那些文件并且正在寻找更多恶意文件。
也许安全保留是一个旧的和被遗忘的 PHP 应用程序。此应用程序有一个文件上传表单,受基于会话的密码系统保护。其中一个恶意脚本位于上传目录中。这似乎不是一个SQL 注入攻击。
答案1
从已知良好的备份中恢复。否则,您可能必须清除并重新安装。一个好的经验法则是,一旦系统被入侵,就永远不要信任它。二进制文件被替换以隐藏有效载荷或后门的可能性太大了。
至于如何,可能是 SQL 注入攻击。或者其他方式。您运行的所有程序都安装了最新补丁吗?
此链接是来自对 twit.tv 的一次明显黑客攻击的缓存(我认为是本周科技)。如果你谷歌一下这个短语,你会得到很多结果。每当有大规模攻击发生时,你都会在不同的论坛上找到关于它的讨论。
再说一遍...不要相信系统。你可能需要清除并重新安装,然后从以前的备份中恢复数据库信息...这是最安全的途径。
答案2
这很可能是针对您使用的某些存在漏洞的第三方脚本或模块的自动攻击。我的朋友使用编写不当的第三方上传程序脚本时也遇到过同样的事情。
答案3
很容易被黑客入侵。您是否做过以下所有事情:
- 保持系统补丁
- 所有账户的密码都比较复杂(包括 Unicode 在内,密码长度至少为 8 个字符)
- 网络上的所有端口均已锁定
- 强化服务器
- 禁用不必要的/未使用的帐户
- 没有从官方供应商以外的地方下载任何更新/补丁?
- 确保所有应用程序都具备脚本/SQL 注入防护
如果您还没有做到以上所有事情,那么您就是在自找麻烦——这只是时间问题。
另外,如果你正在运行 Apache...我刚刚读了一篇关于 Apache 服务器被黑客攻击的文章。这意味着所有来自 Apache 的下载都可能被盗用。我只是浏览了一下这篇文章,因为我不使用 Apache,但潜在的影响仍然很大...以防你不相信我 - 这是关联。
最后,我认为您的整个网络都受到了威胁。不仅机器受到了威胁,而且受威胁机器可以访问的任何机器也都受到了威胁。我会清除并重新安装所有受到威胁或被受威胁机器触碰过的东西……
答案4
在您的日志文件中搜索 _vti_bin/_vti_aut/author.dll 的匹配项。然后在您的 IIS 服务器上禁用 FrontPage Server Extensions。core-project/1.0 用户代理似乎是一个使用 FPSE 的破坏工具,可能使用默认凭据。