我的网络托管商通知我,他们接到了美国银行的投诉,称我的经销商 (WHM) 帐户下的一个帐户被网络钓鱼者入侵。托管商解除我的帐户暂停后,我试图找出帐户是如何被入侵的,但无法弄清楚。
- 我的帐户没有运行任何脚本,只有静态的.html 文件。
- 所有密码都相当强 - 自动生成 8 个字符,混合了小写字母、大写字母、数字和特殊字符。
- 客户端计算机已连接到路由器,并具有最新的防病毒、反间谍软件和防火墙,并且从未被感染过。
- 共享 SSL 证书的 Web 主机不支持 SFTP,因此上传通常使用 filezilla 完成
我假设,如果网络钓鱼者以某种方式获取了密码,那么他们就会造成更大的损害,所以我现在的想法是 cpanel/.htaccess 等中存在某种漏洞?
网络钓鱼者创建了一个带有虚假网站的子域名和文件夹,该网站捕获了银行详细信息并通过电子邮件发送给自己。
我的问题是,网络钓鱼者是如何入侵账户并上传文件的?(或者他可以利用哪些可能的弱点)
答案1
如果您使用的是库存 cpanel 系统,我会检查并尝试排除三到四个可能的向量:
1) 黑客拥有您的 ftp 密码,并使用该密码上传修改后的文件。如果发生这种情况,您的主机应该有日志来显示这一点以及用于执行此操作的远程 IP 地址。如果您的主机无法向您显示这一点,我会寻找新的主机。
2) 他们是否通过不同的界面 (SCP、WebDAV) 修改了您的网站?您的主机应该能够再次向您显示一些日志。
3) 是否有允许文件访问的脚本?您的主机应该能够指向显示此内容的日志。
4) cPanel 中存在一些特权升级或跨经销商帐户攻击。可以跟踪符号链接、WebDAV 错误和其他攻击可能允许黑客利用另一个帐户,然后将内容上传到您的网站。
在所有这些情况下,您的主机都应该引导您完成此过程。