0

DrupalWebサイトへのマルウェア攻撃についてお話ししたいと思います。あなたの提案のためだけでなく、同じ問題で苦しむ可能性のある人に役立つ何かを作成するためにも。上手...

初期設定

  • Drupal 7.9
  • アクティブ化されたモジュール:
    • コア:ブロック、コンテキストリンク、データベースログ、フィールド、フィールドSQLストレージ、フィールドUI、ファイル、フィルター、画像、リスト、ロケール、メニュー、ノード、数値、オプション、オーバーレイ、パス、PHPフィルター、RDF、システム、分類、テキスト、ツールバー、ユーザー
    • CCK:複数選択
    • CHAOS TOOL SUITE:カオスツール
    • データ/ORA:カレンダー、日付、日付API、日付ポップアップ、日付ビュー
    • フィールド:Eメール、フィールド許可、リンク
    • その他:Google Plus One + 1、Pathauto、Token、Weight
    • 共有:これを共有し、このブロックを共有します
    • タクソノミーメニュー:タクソノミーメニュー
    • ビュー:ビュー、ビューPDF表示、ビューPHP、ビューUI
    • 私が削除した他のモジュール:CKEDITOR、VIEWS_SLIDESHOW、IMCE、DOMPDF、PRINT、WYSIWIG

セットアップエラー

  • 顧客を満足させるために、私はいくつかのモジュールを変更しましたが、それらを更新したことはありません(AUCH!)
  • 顧客はログインデータを所有しており、おそらく彼のコンピューターは安全ではありませんでした(MMM ...)
  • プロバイダーの毎週のバックアップ(DOH!)を信頼していたため、Webisteのコピーを持っていませんでした。

外部症状を攻撃する

  • マルウェアのWebサイトにリダイレクトされたホームページのすべてのリンク
  • Googleはウェブサイトをブラックリストに載せました
  • Googleウェブマスターツールパネルの重大なアラート

FTPの症状

  • たくさんの「奇妙な」ファイル:mainma3.php(これはすべてのフォルダーにあります!)、functoins.php、sum75.html、wlc.html、aol.zip、chase.zip、chaseverification.zip、501830549263.php、wp -conf.phpとルートフォルダ内の1ダースのwtmXXXXn.php(dove X = numero)。これらのファイルはすべて、悪意のある関数(unscape、base64_decode、evalなど)がたくさん含まれていました。
  • Install.phpは、悪意のあるコードの長い行で変更されました
  • すべてのjavascriptファイルに次のコード行が追加されました:; document.write('');
  • 毎週のバックアップも感染しました
  • Drupalログパネルで見つかった多数の繰り返される「奇妙な」リクエスト(私のドメインは文字列「-----」で隠されています):
    • index.php?q = ckeditor / xss>注意:未定義のオフセット:eval()の5(linea 29 di /web/htdocs/-----/home/modules/php/php.module(74):eval( )'d code(1):eval()' d code)。
    • ----- / user?destination = node /add>shadowkeによるログインの失敗
    • カレンダー/週/2012-W19?year = 2011&mini=2012-12>ページが見つかりません
    • misc /]}; P.optgroup = P.option; P.tbody = P.tfoot = P.colgroup = P.caption = P.thead; P.th = P.td; if(!c.support.htmlSerialize) P._default = [1、>ページが見つかりません
    • misc /)h.html(f?c(>ページが見つかりません
    • mail.htm>ページが見つかりません

回復[この記事に感謝します:http://25yearsofprogramming.com/blog/20070705.htm]

  1. Webサイトをメンテナンスモード(error503.php + .htaccess)にしました。私のIPアドレスのためだけにトラフィックが開いています[この便利なガイドを参照してください:http://25yearsofprogramming.com/blog/20070704.htm]
  2. ウェブサイト全体をローカルでダウンロードしました
  3. 奇妙なファイルを検索して削除しました>40個見つかりました
  4. これらの世界のファイルを検索しました[フリーウェアAGENTRANSACKを使用]:eval(base64_decode($ POST ["php"]))、eval(、eval(、base64、document.write、iframe、unescape、var div_colors、 var _0x、CoreLibrariesHandler、pingnow、serchbot、km0ae9gr6m、c3284d、upd.php、timthumb。>次のいずれかの方法で動作しました。a)evalをphp_eval()(drupalのevalセーフバージョン)に置き換えました。 ; b)疑わしいモジュールを書き留めました。c)コードを新しくダウンロードしたモジュールと比較しました。d)すべての悪意のあるコードを削除しました(上記のJavaScriptを参照)
  5. ファイルシステムでmohangesを検索しました[フリーウェアWINMERGEを使用]
  6. 私はいくつかの疑わしいモジュールを特定し、上記のポイント4で書かれたリストに感謝し、Google(name_of_the_moduleのセキュリティ問題、name_of_the_moduleがハッキングされたなど)とSecunia[http://secunia.com / community / Advices / search]
  7. コンピューターをスキャンしました(Avast、Search&Destroy、Malwarebytes Antimalware)>ウイルスやスパイウェアは見つかりませんでした
  8. すべてのログイン(ftp、cpanel、drupal管理パネル)を変更しました
  9. ウェブサイト全体をリロードしました
  10. 疑わしいモジュールをすべて削除しました:CKEDITOR、VIEWS_SLIDEWHOW、PRINT、DOMPDF、IMCE、CAPTCHA、WYSIWIG、WEBFORM。
  11. 私はプロバイダーの支援に全体の話をしました
  12. 私はグーグルに改訂を要求します(彼らは12時間でそれをしました)

DRUPAL LOG NOW

これらのメッセージのダース--wtm4698n.php?showimg = 1&cookies =1>ページが見つかりません--fhd42i3d.html>ページが見つかりません--wp-conf.php?t2471n=1>ページが見つかりません------/user?destination = node /add>Elovogueによるログインの失敗

学んだ教訓

  • モジュールには絶対に触れないでください。更新できます。
  • すべてのログインを安全なコンピューターに保管する/安全なコンピューターを使用してFTPで作業する
  • モジュールをインストールする前に、セキュリティの問題を検索してください
  • ウェブサイトのきれいなコピーをどこかに保管してください

私の質問:

  • どんな攻撃を受けましたか?
  • 私のインストールに他の不明なモジュールがありますか?
  • 私はまだ何ができますか?

皆さんの忍耐に感謝します!

4

1 に答える 1