Web sitesi hacklendi 'FaK3SSH buradaydı' nasıl kaldırılır?

Web sitemiz hacklendi, buradan kontrol edin . Tam olarak ne yapacağımı bilmiyorum ve şu an pazar gününden beri barındırma sağlayıcımla iletişim kuramıyorum.

Bunu çıkarmaya nereden başlayacağın hakkında bir fikrin var mı? Web sitesi dosyaları sağlam. Hacked html mesajının kaynak dosyalarını bulamıyorum.

Web sitesi unix sunucusunda barındırılmaktadır. uname - adöner:

Linux uniki 2.6.32-5-vserver-amd64 #1 SMP Mon Jan 16 19:31:31 UTC 2012 x86_64 GNU/Linux

Teşekkürler

unix webserver

— Primoz Rome
kaynak

Ne demek "web sitesi dosyaları bozulmamış"? İndex.html hacklenmiş içeriği içerir. Belki .htaccess dosyasını başka bir yerden çekip çekmediğini kontrol etmek için kontrol edin ve sunucunuzun DNS tarafından işaret edilenlerden biri olduğunu onaylayın: 92.42.190.221

— Paul

Evet, ilk kontrol ettiğim şey buydu. HTML içeriğini oluşturmak için PHP çerçevesini kullanıyorum. Yeni bir index.html dosyası yok ve .htaccess değişmedi (değiştirilmedi). Bu içeriğin sunucunun sunucuyla saldırıya uğramasının başka bir yolu var mı? Sorun, sunucunun çeşitli etki alanı adlarını barındırması ve hepsinde aynı sorun var !?

— Primoz Rome

Tamam, şimdi buldum. Tüm etki alanı adları index.php dosyaları bu hacklenmiş içerikle değiştirildi :(. Bu nasıl mümkün olabilir, SSH hesap şifremi ya da ne erişebildiler?

— Primoz Rome

Hangi çerçeveyi kullanıyorsunuz? En olası vektör, çerçevede veya addon betiğinde bir hatadır.

— Paul

Bazıları Kohana Framework (2.3.x), bazı FuelPHP (1.5), bazı Wordpress kullanıyor

— Primoz Rome

Bunu çıkarmaya nereden başlayacağın hakkında bir fikrin var mı?

Erişiminiz olan tüm dosyaları kaldırın. Eğer paylaşımlı hosting kullanıyorsanız, yapabileceğiniz tek şey tüm web kökünüzü temizlemektir. Sistemin tamamı temizlenir edilmez, web sitenizi bilinen bir güvenli yedekten yeniden yerleştirin.

Herhangi bir veritabanı kullanıyorsanız, erişim bilgilerini değiştirin. Ayrıca, PHP yapılandırma dosyalarında saklanan düz metinde herhangi bir şifreniz varsa, onları da güvensiz olarak düşünmelisiniz.

Content Management Systems gibi PHP scriptleri çalıştırmanız durumunda, şimdi bunları en son güvenlik sürümüne yükseltme zamanı.

Son olarak, barındırma sağlayıcınıza sorunu daha fazla araştırmaları gerektiğini söyleyin. Dürüst olmak gerekirse, sunucunun sahibi değilseniz ve bu nedenle günlükleri veya sunucu yapılandırmasına erişimi yoksa, yapabileceğiniz hiçbir şey yoktur.

Bu senin suçun olmayabilir. Paylaşılan barındırmada, bir saldırgan sunucuya erişirse (daha doğrusu, web sunucusu işleminin çalıştığı kullanıcı), web sunucusunun dosya sistemi erişimi olan her yerde dosya okuyabilir, yazabilir ve oluşturabilir. Bu nedenle, bir başkasının web köklerinde (belki eski bir CMS kurulumunda) güvenlik açığı bulunan PHP komut dosyaları olduğunu hayal edin, bir saldırgan aynı fiziksel makinede çalışan tüm diğer web sitelerini kolayca bulaştırabilir.

— slhck
kaynak