web-dev-qa-db-ja.com

私のwordpressサイトがハッキングされました。問題の原因を追跡するにはどうすればよいですか?

重複の可能性:
私のサーバーは緊急にハッキングされました

誰かが私のWordpress 3.2.1インストールをハッキングし、管理者としてコントロールパネルにアクセスし、テーマのindex.phpファイルを調整することができました。彼はサイトのファイルを削除しませんでした。またはより多くのダメージを引き起こします(彼が親切だったのか、アクセスが制限されただけなのかはわかりません)。

私の質問は、問題の原因をどのように追跡するのですか?私が知っているのは、サイトがハッキングされる前に、wordpressから、管理者パスワードの変更を要求したというメールが届いたことだけです。

どこから探し始めるか考えていますか?

ありがとう、Mashhoor

2
KeyStroke

最初に確認するのはWebログです。奇妙なクエリ文字列を持っている404を探してください。

4
macarthy

これは事後のことですが、WordPress File Monitorプラグインをインストールしてみてください。少なくとも将来的には、どのファイルが変更され、アップロードされたかどうかが正確にわかります。

0
John Hoff

私の質問は、問題の原因をどのように追跡するのですか?私が知っているのは、サイトがハッキングされる前に、wordpressから、管理者パスワードの変更を要求したというメールが届いたことだけです。

電子メールメッセージは、ハッキングがいつ発生したか、およびパスワードリセット機能がエクスプロイトの一部であったことを示しています。

どこを見ればいいですか?基本的に、サーバーログから始めることができます。その時にどのリクエストが行われましたか? POSTおよびGETリクエストを探してください。一部のサーバーは、実際にはPOSTデータをログに記録します。これは、常にそうであるとは限りませんが、詳細を調べるのに役立ちます。

攻撃者がブログへの管理者アクセスを取得すると、通常、攻撃者はwordpressセットアップですべてのファイルを変更できます。これは、wordpressほとんどのファイルにアクセスできる必要があるためです。ただし、安全な設定では、ファイルは書き込み専用です。この情報は、ハッキングの実行方法と将来の防止方法を理解するのに役立つ場合があります。

また、3.2.xラインナップのwordpressアップデートまたは3.1.4へのダウングレードを探してください。3.2.1は非常に新しく、特にエクスプロイトについては実際にテストされていません。

物事を追跡する別の方法は、完全なロギングを有効にして通知を有効にした同じ構成でハニーポットインストールをセットアップして、発生している攻撃について詳しく知ることです。多くの攻撃はスパム目的(または単にワーム)のために自動化されているため、ハニーポットサイトを使用してそのような攻撃パターンを検出できます。ファイルが変更または追加されたときにサイトが攻撃されたことを知っています。

0
hakre