Gibt es eine Möglichkeit herauszufinden, wie ich gehackt wurde? Was war der Schwachpunkt?

610
art.mania

Eine meiner Seiten wurde ein paar Mal gehackt :( Zuerst habe ich alle Datenbanken verloren, einige Tabellen wurden gelöscht und einige Tabellendaten wurden geändert! Als beim zweiten Hack wurden alle Tabellen gelöscht und die Codes einiger PHP-Dateien wurden geändert: /

Es wird in Bluehost gehostet, und jetzt raten sie mir, etwas zu reparieren.

  1. Beheben Sie lose Dateiberechtigungen (dies ist möglicherweise die häufigste Schwachstelle für Exploits)
  2. Löschen Sie alle erstellten Nicht-System-FTP-Konten, oder ändern Sie zumindest die Kennwörter für die FTP-Konten.
  3. Entfernen Sie alle Access-Hosts, indem Sie auf das Symbol „Remote Mysql“ klicken und bei jedem Eintrag auf Red X entfernen klicken, wenn Einträge vorhanden sind.
  4. Überprüfen Sie Ihre Skripts auf Header-Injection-Angriffe, SQL-Injection-Angriffe, Cross-Site Scripting-Angriffe usw. sowie Ihre php.ini-Dateieinstellungen.
  5. Wenn Ihre Skripts infiziert sind, möchten Sie möglicherweise ein Rollback auf die letzte gute Momentaufnahme Ihres Kontos durchführen. Wenn Ihre Sicherungen ebenfalls infiziert sind, möchten Sie möglicherweise Ihr Konto zurücksetzen, um es erneut zu starten.

Ich habe versucht, all dies so gut es ging zu tun, insbesondere über "Header-Injection-Angriffe, SQL-Injection-Angriffe, Cross-Site-Scripting-Angriffe usw. sowie Ihre php.ini-Dateieinstellungen". Ich bin ein bisschen Anfänger bei dieser Arbeit, also habe ich diese Sachen nicht voll im Griff ...

meine Frage ist; Gibt es eine Möglichkeit herauszufinden, wie ich gehackt wurde? Was war der Schwachpunkt?

6
* Was * wurde in den PHP-Dateien geändert? Diese Änderungen können Ihnen sicherlich einen Hinweis geben, was passiert ist. Arjan vor 14 Jahren 1
PHP-Codes wurden entfernt und durch HTML ersetzt ... art.mania vor 14 Jahren 0
Mehr, mehr Detail! (Oder suchen Sie nach diesen Änderungen mit der Suchmaschine Ihrer Wahl.) Arjan vor 14 Jahren 0

2 Antworten auf die Frage

1
Ofir

Haben Sie Protokollierung? Dies ist normalerweise der erste Ort, an dem Sie nachsehen.

Meine Vermutung ist die SQL-Injection - aber nur, weil Tabellen das erste waren, was Sie beim Ändern bemerken.

Beachten Sie auch die Anweisungen, die Sie erhalten haben, um sicherzustellen, dass der Hacker keine verbliebene Hintertür hinterlässt.

hmm, ich habe gerade Protokolldateien gefunden, es hat ziemlich komplizierten Inhalt, der mir nichts bedeutet: / Ich werde weiter recherchieren, um mehr über den Inhalt der Protokolldateien zu erfahren. Gibt es etwas Böses, worauf ich bei diesen Protokolldateien achten muss? Vielen Dank!! art.mania vor 14 Jahren 0
1
Arjan

Vorausgesetzt, Sie verwenden Shared Hosting, könnte es tatsächlich über eine andere Website auf demselben Server angegriffen werden. Wenn das Shared Hosting nicht auf sichere Weise eingerichtet ist, können manchmal andere Konten zum Lesen Ihrer Dateien verwendet werden, unabhängig davon, wie gut Sie die Dateiberechtigungen festlegen. (Zum Beispiel: Wenn der Webserver zum Lesen einer Datei eingerichtet ist, könnte ein einfaches PHP-Skript zum Durchsuchen von Dateien durch andere Benutzer missbraucht werden.)

Verwandte Probleme