「FaK3SSHがここにあった」ハッキングされたWebサイトを削除する方法

私たちのウェブサイトはハッキングされています。こちらで確認してください。私は正確に何をすべきかわからないし、日曜日なので今のところホスティングプロバイダーに連絡することはできません。

これをどこから削除し始めるのか考えていますか？ウェブサイトのファイルはそのままです。ハッキングされたhtmlメッセージのソースファイルが見つかりません。

WebサイトはUNIXサーバーでホストされています。uname - a返却値：

Linux uniki 2.6.32-5-vserver-amd64 #1 SMP Mon Jan 16 19:31:31 UTC 2012 x86_64 GNU/Linux

ありがとう

unix webserver

— プリモスローマ
ソース

「ウェブサイトのファイルはそのままです」とはどういう意味ですか？index.htmlには、ハッキングされたコンテンツが含まれています。おそらくそれは、どこか別の場所から引っ張っているかどうかを確認するために.htaccessファイルをチェックし、サーバがDNSによってで1ポイントされていることを確認：92.42.190.221

— ポール

はい、それは私が最初にチェックしたものでした。PHPフレームワークを使用してHTMLコンテンツを生成します。新しいindex.htmlファイルはなく、.htaccessはそのままです（変更されません）。サーバーがこのコンテンツをサーバーするためにハッキングされる他の方法はありますか？問題は、サーバーが複数のドメイン名をホストしており、すべて同じ問題があることです！？

— プリモスローマ

わかった。。私のすべてのドメイン名のindex.phpファイルは、彼らが私のSSHアカウントのパスワードまたは何へのアクセスを手に入れた、これが可能である方法:(このハッキングされたコンテンツに変更されている？

— プリモジュローマ、

どのフレームワークを使用していますか？最も可能性の高いベクトルは、フレームワークまたはアドオンスクリプトのバグです。

— ポール

一部はKohana Framework（2.3.x）、一部はFuelPHP（1.5）、一部はWordpressを使用

— Primoz Rome

これをどこから削除し始めるのか考えていますか？

アクセスできるすべてのファイルを削除します。共有ホスティングを使用している場合、基本的にWebルート全体を削除するだけです。システム全体がクリーンになったらすぐに、既知の安全なバックアップからWebサイトを再展開します。

データベースを使用している場合は、アクセス資格情報を変更します。また、PHP構成ファイルに保存されているプレーンテキストのパスワードがある場合は、それらも安全でないと見なす必要があります。

コンテンツ管理システムなどのPHPスクリプトを実行する場合は、今こそ最新のセキュリティリリースにアップグレードするときです。

最後に、ホスティングプロバイダーに問題をさらに調査する必要があることを伝えます。正直なところ、サーバーを所有していないため、ログやサーバー構成へのアクセス権がない場合は、何もできません。

これはあなたのせいではなかったかもしれません。共有ホスティングでは、攻撃者がサーバー（より正確には、Webサーバープロセスを実行しているユーザー）にアクセスすると、Webサーバーがファイルシステムにアクセスできる場所であればどこでもファイルの読み取り、書き込み、作成が可能です。そのため、他の誰かがWebルート（古いCMSインストールである可能性があります）に脆弱なPHPスクリプトを持っていると想像してください。

— slhck
ソース