web-dev-qa-db-ja.com

このサイトはどのように感染したのでしょうか?

Joomla 1.5バージョンで小さなウェブサイトを運営しています。今日、ハッキングされたようです。index.phpおよびindex2.phpファイルは上書きされ、管理者アカウントのパスワードは変更され、imagesフォルダーにはおそらく悪意のある実行可能ファイルが含まれていました。

バックアップでindexページを復元し、別の特権ユーザーアカウントで管理ユーザーをリセットすることができました。

私はこれらのことの専門家ではないので、私の質問は:このサイトはどのように感染したのでしょうか?特定のファイルを実際に削除および置換し、実行可能ファイルをフォルダに保存することができます。誰かが管理者パスワードを変更し、残りはそのままにしておくことができますか?

(コアバージョンの更新プログラムをインストールすることの重要性を非常に認識しています。このような攻撃がどのように実行される可能性があるかにもっと興味があります。)

洞察に満ちた答えをありがとう。

1
slhck

攻撃者がサイトにアクセスする方法はいくつかあります。一般的な可能性は次のとおりです。

  1. 攻撃者はFTPまたは他の利用可能な公開/管理チャネルを介してサーバーにアクセスしました。おそらく、弱いパスワードがあり、ブルートフォース攻撃によってアクセスが取得されたか、ソーシャルエンジニアリングによってパスワードが取得された可能性があります。サーバーのセキュリティログを確認します(ただし、攻撃者はログを削除するアクセス権を持っている可能性があります)。

  2. WebサイトにXSSの脆弱性またはその他のコードの欠陥がある可能性があります。たとえば、コードはSQLインジェクションに対して脆弱であるか、PHPがユーザーデータで形成されたsystem呼び出しを実行している可能性があります。

  3. Joomlaには既知の脆弱性がある可能性があります。セキュリティ更新プログラムが適用されていることを確認してください。

幸運を!

1
Jacob

私はこれを数回見ました。何が起こったのかを常に把握できるとは限りませんが、いくつかのケースでは、FTPの詳細を持つマシンが、FTPの詳細を使用してサーバーに接続し、マシンに感染する、ある種のマルウェア/ウイルスに感染しています。

0
nthonygreen

ウェブサーバーのログを確認する必要があります。侵入に関する十分な情報を見つけることができます。 Web経由でハッキングされたため、すべてApache(または使用する別のサーバー)ログに記録されました

0
RusAlex