Взломанный сайт

Итак, у меня есть веб-сайт, который был взломан дважды за две недели. каждый файл index.php и.js получает скрипт, внедряемый в исходный код файла. Проблема в том, что я понятия не имею, как они это делают. Я видел, как это было сделано с помощью SQL инъекции, но я не знаю, как они на самом деле записывают в файл. Я копался в логах Apache, но не нашел ничего интересного. Сайт построен с использованием платформы CakePHP на общем сервере Godaddy.

Кто-нибудь знает, какие настройки secturity или файлы журналов, чтобы проверить, как они это делают?

3 ответа

Решение

Основываясь на внедренных файлах и размещенных на GoDaddy, я посмотрел в блоге Sucuri.net сообщения о продолжающемся заражении сайтов на общих серверах GoDaddy в течение последнего месяца.

Я бы начал здесь: http://blog.sucuri.net/tag/godaddy

-Josh

Это не инъекция sql. Это червь, и получить такой уровень доступа с помощью червя на пользовательском сайте нереально. Я знаю это, потому что я пишу эксплойты, которые черви используют для распространения, и я говорю вам, что это вызывающе не SQL-инъекция под MySQL (MS-SQL - это отдельная история, у злоумышленника есть xp_cmdshell()).

Тем не менее, вы должны сканировать свой сайт на наличие уязвимостей, используя как w3af(бесплатно) и Wapiti(бесплатно), так и Acunetix($), или лучший инструмент NTOSpider($$$).

Прежде всего, я хотел бы убедиться, что все ваши библиотеки обновлены. Любые машины с доступом по FTP должны быть проверены антивирусом. Я знаю, что у GoDaddy есть только FTP-доступ, потому что они явно не заботятся о безопасности. Есть черви, которые ищут FTP-логины, а затем заражают сайт, это очень успешный червь из-за таких идиотов, как GoDaddy. Если вы не хотите искать деньги, запустите AVG в своей локальной системе, что лучше, чем ничего.

Обычно, когда вы заражены, Google выдает предупреждение в браузере и сообщает вам имя червя. Если вы часто ищете имя, кто-то делал анализ, и это скажет вам, как оно распространяется.

Измените учетные данные для вашей базы данных, а также для входа в систему ftp и обновите соль безопасности и т. Д. В вашем app/config/core.php.

Хотя, как сказал Фабиан, если вы находитесь на общем сервере, вы зависите от кода каждого другого. Сделайте как можно больше, и пусть GoDaddy также узнает об этом.

Вы также можете написать помощника, который специально ищет этот код и удаляет его из ваших файлов, когда они выполняются.

Другие вопросы по тегам