Eine von mir gehostete Site wurde kürzlich gehackt. Der Indexseite wurde unten (direkt über dem schließenden Body-Tag) der folgende Code hinzugefügt:
<script language="javascript">document.write('<div style="font-family:Tahoma,Arial,Helvetica,sans-serif;font-size:12px;overflow:hidden;color:#FF0000;height:' + (325 * 3 - 974) + 'px;width:' + (18 * 786 - 14147) + 'px;font-weight:bold;margin-top:0px;margin-bottom:0px;">'); </script>
Gefolgt von...
Sehr viele Tags landen auf Spam-Sites ...
Auf unserem Server ist suphp installiert, daher glaube ich nicht, dass es von einem anderen Konto aus passiert sein könnte. Auf diesem Konto ist Wordpress installiert, also könnte das das Problem sein.
Irgendwelche Tipps, wie es von hier aus weitergehen soll?
Danke!
Antwort1
Ändern Sie Ihre Standardanmeldung für Wordpress und MySQLNamenund Passwörter. Durch die Verwendung der Standardnamen haben Sie den Hackern die Hälfte des Anmeldepuzzles geliefert.
Stellen Sie sicher, dass Ihre Dienste (PHP, WP, MySQL) alle auf dem neuesten Stand sind.
Überprüfen Sie Plugins von Drittanbietern auf bekannte Schwachstellen und Updates (dazu gehören auch JavaScript-Bibliotheken und Plugins).
Das ist ein guter Anfang. Und Sie sollten Ihre Protokolle vielleicht etwas genauer beobachten, um herauszufinden, wie es dazu kommt, wenn es erneut passiert.
Antwort2
Ihre Protokolle sind höchstwahrscheinlich in /var/log/apache2 gespeichert. Beginnen Sie mit der Suche in den Zugriffsprotokollen. Sie können dies manuell mit grep tun oder ein Tool wie verwendenApache-Kopfhautum Ihre Protokolle nach gängigen Exploits zu durchsuchen.
Antwort3
Ich würde vorschlagen, das Apache-Modul mod_security zu installieren:http://www.modsecurity.org/.
Stellen Sie außerdem sicher, dass Ihr Anwendungscode nicht anfällig ist fürSQL-Injection-Angriffe.
Überprüfen Sie außerdem Ihre Firewall-Regeln und stellen Sie sicher, dass nur Port 80 öffentlich zugänglich ist.