web-dev-qa-db-ja.com

これはどのような攻撃でしたか?

だから私たちのウェブサイトはハッキングされました、そしてこれらは行われたことです:

  1. データベースの一部のエントリが変更されました。これがSQLインジェクションによるものか、データベースへの直接アクセス(ルートのみがデータベースの変更を許可されているか、ルートのエミュレートやパスワードの取得は可能ですか)か、またはWebサイトのCMSによるかはわかりません。私の推測では、それはCMSを介したものだったと思います。

  2. インデックスページのコードは、ハッカー側のハッキング成功の劇的な宣言に変更されました。

Qualys( https://freescan.qualys.com/freescan-front/module/freescan/#scan_report?id=39003& )から無料のスキャンを実行したところ、_SSL Server Allows Anonymous Authentication Vulnerability_と表示されました。 FTPにログインするたびに一部の証明書が無効であることを通知するので、これはおそらく本当ですが、常に無視して[続行]をクリックします。ホスティング会社のサーバーでVPS(共有ではない)アカウントを使用しています。

最初に修正すべき点は何ですか?

#1を編集

サーバーに追加されたいくつかの奇妙なファイルを見つけました。 "wso.php"は、システムパスワードを使用してCookieやその他のものにアクセスしているようです。次に、public_htmlフォルダーでsymという名前の新しいフォルダーを見つけましたが、これを開くと、rootというフォルダーがあり、基本的に再帰的でした。私のルートフォルダ全体のクローン、そしてその隣に.htaccessが次のように言っています:

_ Options all 
 DirectoryIndex Sux.html 
 AddType text/plain .php 
 AddHandler server-parsed .php 
 AddType text/plain .html 
 AddHandler txt .html 
 Require None 
 Satisfy Any
_

少し質問があります -

  • これにより、これがどのような攻撃であったかについてのヒントが得られますか?
  • これらは "悪"な.htaccessコンテンツですか?
  • ファイルの1つは、boy.php.jpgでした。サイトのフォームの1つで、ユーザーが画像をアップロードし、ファイルパスを保存し、DBでバックアップされたCMSを介してそれらのアップロードされた画像にアクセスできる場合、SQLインジェクションが悪意のあるファイルを画像としてアップロードしてからアップロードされた可能性があります。通常のページコンテンツとしてアクセスしますか?

私の会社はハックに悩まされていますが、この謎に少し興奮していることを認めざるを得ません! (おそらくわかるように、セキュリティの初心者)

#2を編集

さらに別のアップデート。私はこのページを発見しました: http://dealshop.cc/a7a/

これとは何か、それがどのように機能するかについての考えはありますか?私のウェブサイトはリストされているものの1つなので、シェルはjpgファイルとして「アップロード」されたのでしょうか?

#3を編集

なぜか先にこれを言及することはありませんでしたが、MySQLデータベースはハッキングされています-phpMyAdminを介してテーブルを参照すると、一部のテーブルのID列の一部が_cat /etc/pwd_や+response.write(9062801*9462776)+。これは、エントリポイントが間違いなくSQLインジェクションだったことを意味しますか?

11
user961627
  • 既知のクリーンなバージョンのサイトを取得し、既知の正常なコードと現在の(ハッキングされた)本番コードとの違いを特定します。変更が行われた方法を調査し、修復します。
  • パスワードを更新します。
  • FTP証明書の問題を修正-2要素認証の使用を検討してください。
  • 脆弱性についてコードをスキャンする方法を見つけてください-ピアレビューまたは自動分析。
  • ロギングを有効にすると、これが再度発生した場合にログファイルが得られます。すでに適切なロギングを行っている場合は、アクセスされたファイルを調べ、URLを介したインジェクションがないかどうかを確認してください。
  • Webアプリケーションファイアウォールの使用を検討してください。
  • データが盗まれた、または侵害されたと思われる場合は、法務部門、警察、パートナー、顧客に知らせてください
13
AndyMac

レコードを変更できるデータベース上の唯一のユーザーがrootであり、CMSがrootユーザーを使用してクエリを実行する場合、問題があります。 rootユーザーは、Webサイトで決して使用しないでください

  • アクセスが必要なテーブルとレコードにのみアクセスできる制限付きユーザーを、適切な権限で制限して取得します。削除や更新が必要ない場合は、そのアクセスを許可しないでください。これは、最小特権の原則として知られています。

情報セキュリティ、コンピューターサイエンス、およびその他の分野では、最小特権の原則(最小特権の原則または最小権限の原則とも呼ばれます)では、コンピューティング環境の特定の抽象化レイヤーで、すべてのモジュール(プロセス、ユーザーまたはサブジェクトに応じたプログラム)は、正当な目的に必要な情報とリソースのみにアクセスできなければなりません。

  • また、匿名ユーザーがFTPサーバーへのログインを許可されていないことを確認し、FTP構成を変更してください。平文の通信を防ぐために、TLS_RSA_WITH_NULL_MD5およびTLS_RSA_WITH_NULL_SHA、これら2つの暗号スイートの対称鍵強度は0であるため。
  • また、リモートのsyslogサーバーを取得して、少なくとも行われた要求を確認し、何が起こったかを確認できるようにします。
  • Webアプリケーションファイアウォールを取得する
  • OSSECなどのサーバーにHIDSをインストールします。これにより、ユーザーをブロックし、サーバーへの侵入の試みが発見されたときに警告を発します。
  • 警察に正式な苦情を申し立てたいと思うかもしれません。

そして最も重要なこと:

軌道からそれを核に入れる、それが確実にする唯一の方法です:バックアップからマシンを復元します。もう信頼される。

13
Lucas Kauffman

これはおそらくPHP LFI(Local File Inclusion)攻撃です。php.jpg "photo"には実際には有効なPHPコードが含まれています。 LFIに対して脆弱な、サイト上の他のスクリプト。

あなたが見つけた他のファイルは、LFIの脆弱性が悪用された後、悪用後に削除されました。

さらに分析するために、boy.php.jpgを投稿できます。このサイトは投稿された画像を変更する可能性があり、攻撃文字列はおそらくEXIFデータに含まれているため、取り除かれる可能性があるため、リンクを投稿するときは生の形式の別の場所でホストします。

.PHPコードとPHPデプロイメント構成の脆弱性を監査することをお勧めします。「Webアプリケーションファイアウォール」は良い方法ですが、セキュリティ上の欠陥がないかコードを監査する必要性を置き換えるものではありません。

5
awesomo4000