web-dev-qa-db-ja.com

PHPファイルをハッキングされたサイトに繰り返し追加するにはどうすればよいですか?

私はGoDaddyで共有ホスティングプランを利用しています(わかっています。知っています)。その中のすべてのファイルがハッキングされています。プランには複数のサイトがあり、それぞれにフォルダーがあります。各サイトのフォルダとサブフォルダには、ハッキングされたファイルがたくさんあり、public_htmlの上のフォルダもそうです。

悪意のあるコードを含む大量のファイルを削除しましたが、xm1rpc.phpファイルを削除してから10秒後に再び表示されます。 .htaccessconfiguration.phpおよびindex.php、いずれかのサイトのルートにあるものも、非常に速く感染するようです。

彼らはどうやってそれを成し遂げるのですか?コントロールパネルでcronを検索し、パスワードを変更しました(FTP、管理者など)、次に何を確認する必要がありますか?ご存知のように、サイトはJoomlaとWordPressです。

phpwordpresssystem-compromiseshared-hostingjoomla
8
Victoria Ruiz

Xm1rpc.phpはワードプレスからのものです。これらの手順に従ってください、それはあなたの問題を解決します。ポイントにまっすぐ進み、以下の手順に従って修正します。これは、スクリプトキディのような作業です。あちこちに行き渡って複雑にしないでください。

  1. すべてのwordpressにアクセスできます。この plugin をすべてのwordpressにダウンロードし、これを使用してマルウェアをスキャンおよび削除します。
  2. すべてのサイトのwordpressを最新バージョンに更新します。
  3. パスワードをすべてに変更wordpress site、cpanel and whm(if have if)

使い方? /wp-includes/load.phpが感染しています。これにより、.htaccess、.configuration.php、index.phpに感染する悪質なphpファイルが作成され続けます

2
Lester T.

インラインHTMLまたはJavascriptとして、データベースにバックドアがある場合があります。

ファイルからすべてを削除したことが確実な場合は、データベースを調べてください。

また、両方のCMSを最新バージョンにアップグレードし、両方で未使用のモジュールをすべて無効/削除して、同じ方法で再度ハッキングされないようにしてください。

また、誰かが本当にあなたを爆撃している場合は、WWWサーバーアクセスとエラーログを確認してください。

2
user129555

まず、サイトのアクセスログを確認して、感染したのと同じ攻撃方法で再感染していないことを確認します。 10秒ごとにリクエストが送信されない場合は、今のところこれで十分です。

疑わしいcronジョブはないと言っていました。これをどのように確認しましたか?コントロールパネルを介して作成されていない場合でも、言及したコントロールパネルにcronjobsがすべて表示されますか?

本当にcronジョブがない場合、再感染の次の原因として考えられるのは、サーバー上で実行中の悪意のあるプロセスであり、10秒間スリープし続け、ファイルの存在を確認し、存在しない場合は再作成します。もうあります。

それが起こっている場合は、サーバーのどこかにまだ悪意のあるファイルのコピーが残っている可能性があります(それか、リモートソースからダウンロードされています)。/tmpディレクトリで非表示のサブディレクトリを確認することを忘れないでください。/tmpは通常世界中で書き込み可能であるため、マルウェアが存在する可能性が高い場所です。

一部のマルウェアは、UNIXシステムで巧妙なトリックを使用してファイルを非表示にします。実行中のプロセスはファイルを開いてからリンクを解除します。これにより、lsやfindなどのコマンドから見えなくなりますが、開いているため、まだ存在します(それらを開いたままにするプロセスが終了するまで)。良いのは、開いているので、/ procの下に表示されることです。

このプロセスを見つけて殺す必要があります。 GoDaddyについて何も知りません。Shellアクセスはありますか?その場合は、psコマンドを使用して、ユーザー名で実行中のアクティブなプロセスを一覧表示できます。

ただし、感染ベクターを見つけない限り、これはすべて無意味です。最初にランダムな文字列を含む非常に長いURLがないか、アクセスログを確認してください。 grepと正規表現の使い方を知っていれば、これはかなり簡単です。疑わしいものを見つけたら、URLをグーグルで検索してください。これにより、最初の侵害を可能にし、システムを保護するために知っておく必要があるセキュリティホールの説明が提供される場合があります。

2
Out of Band

ファイルをサイトに何度も追加するにはどうすればよいですか?

システム/プログラムの「特権エスカレーションの欠陥」を悪用する

低い特権のアカウントを持つユーザーは、特権エスカレーションの欠陥を悪用してroot特権を取得できます。悪意のあるユーザー(rootアクセスを持つ)は、ファイルを追加、削除することでデータベースを完全に制御します。

例:LAMP(Linux-Apache-MySQL-PHP)01.11.2016で発見された新しい脆弱性 CVE-2016-6664 (MySQLおよびMariaDB)

説明

MySQL、MariaDB、PerconaDBなどのMySQLベースのデータベースは、権限昇格の脆弱性の影響を受けます。これにより、mysqlシステムユーザーにアクセスした攻撃者は、権限をrootユーザーにさらに昇格させ、システムを完全に侵害することができます。この脆弱性は、エラーログやその他のファイルの安全でないファイル処理に起因します。

2
GAD3R

あなたが与える情報だけで答えることはかなり難しいです。

一部の仲間は、あなたの問題はSQLデータベースの脆弱性である可能性があると言いましたが、私はそうは思いません(私はまだ間違っている可能性があります)。その場合と同様に、システムにアクセスするためにファイルを挿入する必要はありません。

誰かがあなたのページの現在の脆弱性のいずれかを利用してアクセスしようとしている可能性があることはかなり正しいです。

だから、私が言えることのほとんどは:

  • 最も可能性が高い原因(おそらく)は、RFIの脆弱性(リモートファイルインクルージョン)であり、PHP動的Webページがかなり一般的です。
  • Joomlaは、多くのCMSモーター( @ user129555 と同様)にかなり脆弱であり、新しいバグ/脆弱性が非常に速く検出されます。

  • あなたができる最高のことは:

    1. Webファイルと権限を確認します(一部のCMSでは、一部のファイルを削除する必要があるか、セキュリティのための最初の設定後に権限を変更します)。
    2. グーグル(またはページまたはパブリックデータベースを [〜#〜] cve [〜#〜] )として使用して、考えられる脆弱性を確認します。
    3. あらゆる種類のモーターを使用して、いくつかの脆弱性を見つけます(CMSにはトンがあります)。
    4. すべての(Joomla)を最新バージョンに更新して、ほとんどの脆弱性を修正します。

幸運を!

2
KanekiDev