Media Temple(MT)共有サーバーでホストしているサイトがいくつかあります。今朝、ウェブサイトの一部がダウンしていることに気づきました。調査の結果、これらが侵害されていることに気付きました。 MTのディレクトリ構造は次のとおりです:ドメイン>ドメイン名> html(別名Webサイトルート)。
DOMAIN-NAMEレベルで、Meuhy.phpという名前のファイルに気付きました。 MTのサポートによると、それはある種の悪意のあるパッケージマネージャーのように見えました。そのファイルをGoogleで検索しましたが、そのソースの特定に役立つものは見つかりませんでした。しかし、他のWebサイトに挿入されていることに気付きました: https://www.google.com/search?q=meuhy.php&oq=m&aqs=chrome.4.69i60l4j69i59j69i60.5768j0j7&sourceid=chrome&ie=UTF- 8
Webルートで、WordPressコードがindex.phpファイルに挿入されていましたが、すべて1つを除くサイトのDrupalサイトです。また、一連の.xmlファイルが生成されたことがわかりました。これらのサイトには、一連のサーバー呼び出しのように見えるものが含まれていました。GPUの使用状況を確認しました、そしてこれらのファイルが生成されたことを中心に急上昇していることに気づきました。GoogleAnalyticsは、この期間にトラフィックが異常に急上昇したことも示しています。
私の主な質問は、これがどんな種類の攻撃か知っている人がいます、そして私たちのデータベースが危険にさらされる可能性があることを心配する必要がありますか?
Meuhy.phpにより、攻撃者が任意のディレクトリの権限を変更したり、ファイルをアップロードしたりできることが発見されました。ファイル自体はさまざまな方法で使用できるようです。私たちの場合、攻撃者はスパムを提供するために私たちのウェブサイトを使用したいと考えているようです。
攻撃者は、自分のGoogle確認.htmlドキュメントをWebルートに追加することにより、自分をGoogle Search Consoleアカウントの所有者として追加したことがわかりました。次に、2つのサイトをインデックスに登録するようリクエストしました。アップロードされた.xmlファイルは、基本的にそれぞれ40,000のURLを含むサイトマップです。合計すると、各Webサイトは5つの.xmlファイルで200,000のURLを提供しました。 Search Consoles Search Analyticsを利用して、提供されたリンクのほとんどが日本語であることがわかりました。
このタイプの攻撃について詳しく説明している記事を見つけました。影響を受けた他の人に最善を尽くしてください: https://blog.sucuri.net/2015/09/malicious-google-search-console-verifications.html
Meuhy.phpファイルを10 WordPress=サイトで見つけました。また、GoDaddyがホストするサイトに追加されたこれらの追加ファイルも見つけました:
suspend..php wp_rmder.php test.php
上記は、2018年5月5日または5月14日のすべての最終変更日をファイルします。
index.phpにPHPコードが挿入され、5月19日に最終変更され、Google検索コンソールでの検証用のGoogle HTMLファイルが5月19日に追加されました。
5月19日にドメイン名の新しい所有者が追加されたため、最初に警告を受けました。その日に5つのXMLサイトマップが追加され、それぞれに約40,000のURLがあることに気付きました。