最近、クライアントの1人から電話があり、そのサイトのページの下部に「奇妙なコード」があるとの苦情がありました。ソースコードを調べたところ、タグtemplates/masterの後に約800バイトの悪意のあるJavaScriptコードがファイルに追加されていたことがわかりました。</html>特に厄介に見えたので、私はそのコードを投稿しません。
私の知る限り、誰かがサーバーやFTPログインの詳細に直接アクセスできない限り、このファイルを編集する方法はありません。実際のファイル自体が変更されているため、あらゆる種類のSQL攻撃が除外されます。クレデンシャルを物理的に取得してこのファイルを手動で変更する人以外に、何が起こったのかについて他の論理的な説明がありますか?他の誰かがこのようなことが起こった経験がありますか?
私がチェックしたい場所は次のとおりです。
?foo=exec('...'):)また、同じ攻撃から安全にするために、サイトのすべてのファイルへの書き込みアクセスをすぐに制限します(もちろん、ベクターは開いたままですが、何もないよりはましです)。
攻撃者が他のファイルにアクセスできない場合は、コードのどこかにエクスプロイトがあり、ユーザーが任意のコードを実行できる可能性があります。ここでは、passthru()、exec()、およびeval()の使用が一般的な問題です。同じマシンでFTPが実行されている場合、それは通常、強力な攻撃ベクトルでもあります。
SQL攻撃(特に上記のエクスプロイトと組み合わせた反映攻撃)を断固として除外するかどうかはわかりませんが、それが1つになるかどうかも明確ではありません。
あなたの質問に対して、それは自動化されているか、個人的にターゲットにされている可能性があり、与えられた詳細のレベルで言うのは難しいです。他の人が言っているように、できるだけ多くのパスワードを切り替え、サーバーへのアクセスを制限してから、ログの検査を開始して、どこで問題が発生したかを確認します。これは、アプリ自体を分解するよりも成功します。
指定はしませんが、FTPは本質的に安全ではないため、本番サーバーでFTPを使用するべきではありません(特に、資格情報をプレーンテキストで送信するため、盗聴攻撃の餌食になります)。常にSFTPを使用してください。
プレーンFTPを使用している場合、これは攻撃ベクトルである可能性が最も高くなります。特に、ファイルの変更がすべて行われているためです。あなたのマシンが完全に侵入されていれば、私はそれ以上のものを見ることを期待していました。
ほぼ確実に資格情報が侵害され、誰かがコードをリモートで変更できるようになりました。サーバーはサイトにありますか?
これが私の見方です。FTPプログラムを使用していますか?パスワード、パスなどを保存しているftpログファイルが取得されます。パスワードはデコードされます。
FTPクライアントにFTPパスワードを保存しないようにしてください。または、上記のように、SFTPを使用します。同様の問題が発生し、FTPログインのセットを持つ1台のコンピューターから発生したようです。また、このコンピュータには以前に多くの奇妙な問題があったためです。Javascriptが正しく機能しない、セッションがタイムアウトする、または単に削除される。これは、このコンピューターに何かがあったことを示しています。
Webサイトで疑わしいファイルを見つけて削除してください。FTPにアクセスできる場合は、FTPパスワードを変更したり、SFTPの使用に切り替えたりした後でも、特定のURLを介してWebサイトのファイルをアップロード/変更できるバックドアスクリプトをどこかに残している可能性があります。
PHPを使用している場合は、ここにあるスクリプトを実行してみてください。
既存の悪意のあるコードを検出するには、サーバー上で優れたマルウェア対策スキャンエンジンを使用して、Webサイトのファイル上の悪意のあるコードを検出することをお勧めします。多くの場合、サーバーは脆弱ではありませんが、Webサイトは脆弱です。これを防ぐには、すべてのリクエストを調べて攻撃の試みを検出およびブロックできるWebアプリケーションファイアウォールを使用します。