だから私たちのウェブサイトはハッキングされました、そしてこれらは行われたことです:
データベースの一部のエントリが変更されました。これがSQLインジェクションによるものか、データベースへの直接アクセス(ルートのみがデータベースの変更を許可されているか、ルートのエミュレートやパスワードの取得は可能ですか)か、またはWebサイトのCMSによるかはわかりません。私の推測では、それはCMSを介したものだったと思います。
インデックスページのコードは、ハッカー側のハッキング成功の劇的な宣言に変更されました。
Qualys( https://freescan.qualys.com/freescan-front/module/freescan/#scan_report?id=39003& )から無料のスキャンを実行したところ、_SSL Server Allows Anonymous Authentication Vulnerability
_と表示されました。 FTPにログインするたびに一部の証明書が無効であることを通知するので、これはおそらく本当ですが、常に無視して[続行]をクリックします。ホスティング会社のサーバーでVPS(共有ではない)アカウントを使用しています。
最初に修正すべき点は何ですか?
サーバーに追加されたいくつかの奇妙なファイルを見つけました。 "wso.php"は、システムパスワードを使用してCookieやその他のものにアクセスしているようです。次に、public_htmlフォルダーでsym
という名前の新しいフォルダーを見つけましたが、これを開くと、root
というフォルダーがあり、基本的に再帰的でした。私のルートフォルダ全体のクローン、そしてその隣に.htaccessが次のように言っています:
_ Options all
DirectoryIndex Sux.html
AddType text/plain .php
AddHandler server-parsed .php
AddType text/plain .html
AddHandler txt .html
Require None
Satisfy Any
_
少し質問があります -
私の会社はハックに悩まされていますが、この謎に少し興奮していることを認めざるを得ません! (おそらくわかるように、セキュリティの初心者)
さらに別のアップデート。私はこのページを発見しました: http://dealshop.cc/a7a/
これとは何か、それがどのように機能するかについての考えはありますか?私のウェブサイトはリストされているものの1つなので、シェルはjpgファイルとして「アップロード」されたのでしょうか?
なぜか先にこれを言及することはありませんでしたが、MySQLデータベースはハッキングされています-phpMyAdminを介してテーブルを参照すると、一部のテーブルのID列の一部が_cat /etc/pwd
_や+response.write(9062801*9462776)+
。これは、エントリポイントが間違いなくSQLインジェクションだったことを意味しますか?
レコードを変更できるデータベース上の唯一のユーザーがrootであり、CMSがrootユーザーを使用してクエリを実行する場合、問題があります。 rootユーザーは、Webサイトで決して使用しないでください。
情報セキュリティ、コンピューターサイエンス、およびその他の分野では、最小特権の原則(最小特権の原則または最小権限の原則とも呼ばれます)では、コンピューティング環境の特定の抽象化レイヤーで、すべてのモジュール(プロセス、ユーザーまたはサブジェクトに応じたプログラム)は、正当な目的に必要な情報とリソースのみにアクセスできなければなりません。
TLS_RSA_WITH_NULL_MD5
およびTLS_RSA_WITH_NULL_SHA
、これら2つの暗号スイートの対称鍵強度は0であるため。そして最も重要なこと:
軌道からそれを核に入れる、それが確実にする唯一の方法です:バックアップからマシンを復元します。もう信頼される。
これはおそらくPHP LFI(Local File Inclusion)攻撃です。php.jpg "photo"には実際には有効なPHPコードが含まれています。 LFIに対して脆弱な、サイト上の他のスクリプト。
あなたが見つけた他のファイルは、LFIの脆弱性が悪用された後、悪用後に削除されました。
さらに分析するために、boy.php.jpgを投稿できます。このサイトは投稿された画像を変更する可能性があり、攻撃文字列はおそらくEXIFデータに含まれているため、取り除かれる可能性があるため、リンクを投稿するときは生の形式の別の場所でホストします。
.PHPコードとPHPデプロイメント構成の脆弱性を監査することをお勧めします。「Webアプリケーションファイアウォール」は良い方法ですが、セキュリティ上の欠陥がないかコードを監査する必要性を置き換えるものではありません。