2012年8月6日 星期一

RunForestRun網站攻擊


RunForestRun網站攻擊

RunForestRun網站攻擊更改攻擊方式(DGA),RunForestRun現在使用的惡意連結是waw.pl子網域取代原本的.ru網域。

攻擊回顧:
在2012的6月中旬開始,許多使用Plesk Panel的主機都遭到駭客攻擊感染,駭客主要是利用主機後台 -Plesk Panel的文件管理器改寫.js檔案,在.js檔案的最下方,植入惡意的連結程式碼。
他們還為中毒的檔案提供加密,所以我們找不到受感染的檔案和程式碼。

解決方式:
1.) Make sure you have a backup of your site. You have a backup, don’t you? You’ll need it to recover your .js files.
確認你有未被感染的備份檔,你需要用未感染的備份檔案覆蓋所有的.js檔

2.) Make sure there in nothing suspicious is added to your site.
確認沒有任何可疑的添加檔案

3.) Important: Change all site passwords: FTP, Control Panel, etc. Don’t revert your old passwords if you hosting provider resets them.
重要:更改網站上的所有密碼:FTP,控制台...不要使用舊的密碼,請主機商重置所有密碼

4.) Very important: Contact you hosting provider and show them this article and thearticle about the original RunForestRun attack. The attack uses server level security issues of the Plesk Panel and only your hosting provider can really stop reinfections.
非常重要:聯絡主機商,並且讓他們看這篇文章-article about the original RunForestRun attack.請他們了解Plesk Panel安全級別的問題,只有你的主機商能夠停止網站再被感染!

參考文章:http://blog.unmaskparasites.com/2012/07/26/runforestrun-now-encrypts-legitimate-js-files/

沒有留言:

張貼留言