есть ли способ узнать, как меня взломали? В чем было слабое место?

576
art.mania

один из моих сайтов несколько раз взламывался :( сначала я потерял все базы данных, некоторые таблицы были очищены, а некоторые данные таблицы изменены! чем при втором взломе все таблицы были очищены, а коды некоторых файлов php были изменены: /

это размещено в Bluehost, и теперь они советуют мне некоторое исправление;

  1. Исправьте любые потерянные права доступа к файлу (это может быть самой распространенной уязвимостью эксплойтов)
  2. Удалите все несистемные учетные записи Ftp, которые были созданы, или, по крайней мере, измените пароли на учетные записи FTP.
  3. Удалите все узлы доступа, щелкнув значок «Удаленный Mysql» и нажав «Удалить красный X» для каждой записи, если есть какие-либо записи.
  4. Проверьте ваши сценарии на наличие атак с использованием заголовков, атак с использованием SQL-атак, атак с использованием межсайтовых сценариев и т. Д., А также настроек файла php.ini.
  5. Если ваши сценарии заражены, вы можете откатиться до последней удачной резервной копии снимка вашей учетной записи. Если ваши резервные копии также заражены, возможно, вы захотите, чтобы мы сбросили вашу учетную запись, чтобы начать заново.

Я старался делать все это как можно больше, особенно в отношении «атак с использованием заголовков, атак с использованием SQL-атак, атак с использованием межсайтового скриптинга и т. Д., А также настроек вашего файла php.ini». Я начинающий в этой работе, так что не могу полностью контролировать эти вещи ...

мой вопрос есть ли способ узнать, как меня взломали? В чем было слабое место?

6
* Что * было изменено в файлах PHP? Эти изменения, безусловно, могут дать вам подсказку о том, что произошло. Arjan 14 лет назад 1
php коды были удалены и заменены на html ... art.mania 14 лет назад 0
Больше, больше деталей! (Или найдите эти изменения, используя выбранную вами поисковую систему). Arjan 14 лет назад 0

2 ответа на вопрос

1
Ofir

У вас есть регистрация? Это обычно первое место, на которое нужно посмотреть.

Я предполагаю, что SQL-инъекция - но только потому, что вы заметили изменение таблиц первым.

Кроме того, внимательно следуйте полученным инструкциям, чтобы хакер не покинул оставшуюся заднюю дверь.

хм, я только что нашел файлы журналов, у них довольно сложный контент, который ничего для меня не значит: / Я буду продолжать исследовать, чтобы больше узнать о содержимом файлов журналов. Есть ли что-то подозрительное, что мне нужно искать в этих файлах журнала? Спасибо!! art.mania 14 лет назад 0
1
Arjan

Предполагая, что вы используете виртуальный хостинг, он может быть атакован через другой веб-сайт, работающий на том же сервере. Если общий хостинг не настроен безопасным способом, то иногда для чтения ваших файлов могут использоваться другие учетные записи, независимо от того, насколько правильно вы установите права доступа к файлам. (Например: когда веб-сервер настроен на чтение любого файла, можно использовать некоторый простой сценарий PHP для просмотра файлов от других пользователей.)

Похожие вопросы