web-dev-qa-db-ja.com

ハッキングされないようにするにはどうすればよいですか?

私はJoomla/PHPで構築されたWebサイトを持っていますが、ポルノコンテンツを含むWebサイトへの.htaccessファイルでRewriteCondディレクティブを見つけるまではうまくいきました。

RewriteEngine On
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "Android|BlackBerry|htc|iPad|iPhone|iPod|Kindle|lg|midp|mmp|mobile|mot|nokia|o2|opera mini|J2ME" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "Palm|pocket|psp|sgh|smartphone|sonyericsson|symbian|treo mini|up.browser|up.link|vodafone|wap" [NC]
RewriteCond %{HTTP_USER_AGENT} !Googlebot-Mobile [NC]
RewriteRule ^(.*)$ http://seokirja.com [L,R=302]

RewriteCond %{HTTP:Accept-Encoding} gzip
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]

ホスト会社は、いくつかのPHPファイルへのスパムの試みを発見したと述べました。私はそれらをチェックし、暗号化されたコードを見つけました。

ファイルのアクセス許可とPHP関数もチェックしましたが、問題ないようです。

このハッキング方法の被害者にならないようにするにはどうすればよいですか?

3
fiskolin

ハッキング方法は説明されていません。むしろ、サーバーのファイルシステムにファイルを変更または追加する機能を許可した未知のアクセス方法の結果です。

最初のステップは、このような低レベルのファイルを変更するために彼らがどのように侵入したかを調べることです。次のことを判断する必要があります。

  1. 彼らはあなたのcPanel、ssh、またはsftpのいずれかに、弱い推測可能なパスワードを介してアクセスすることができました。

  2. 彼らは、ウェブサイトを維持するために使用されたワークステーションをハッキングすることでアクセスすることができました。

  3. Joomlaまたはそのプラグインは最新の状態に保たれていないか、サーバーファイルの書き込みアクセスを取得できる脆弱性がありません。

  4. 彼らはJoomlaのバックエンドにアクセスし、サーバー上のファイルを変更できるファイルマネージャーをインストールすることができました。

  5. あなたまたはあなたのウェブサイト管理者によって作成された他のスクリプトには、深刻なプログラミングの欠陥があります。

  6. サーバー構成は緩く、サーバーにファイルを挿入する他の手段を許可しました。

侵入に使用する方法が決定され、修正された後にのみ、これらのスクリプトのサーバーのクレンジングを開始することができます。

4
Fiasco Labs

クロスサイトスクリプティング(XSS)は、コンピューターセキュリティの脆弱性の一種です。 XSSを使用すると、攻撃者は他のユーザーが表示するWebページにクライアント側のスクリプトを挿入できます。これをWebサイトのメインディレクトリの.htaccessファイルに追加します。

<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>

このヘッダーにより、最新のWebブラウザーに組み込まれている クロスサイトスクリプティング (XSS)フィルターが有効になります。とにかく通常はデフォルトで有効になっているため、このヘッダーの役割は、ユーザーが無効にした場合にこの特定のWebサイトのフィルターを再度有効にすることです。このヘッダーは、IE 8+およびChrome(どのバージョンが不明か)でサポートされています。アンチXSSフィルターはChrome 4に追加されました。そのバージョンがこのヘッダーを尊重しているかどうかは不明です。

ソース:
https://www.owasp.org/index.php/List_of_useful_HTTP_headers

3
Vasko