これをすべお必芁ずするWordPress Webサむトハックず、それを回避する方法に関するヒント

こんにちはhaberUser



この話は玄2か月前に始たりたした。ホスティングサヌビスを提䟛しおくれた私の良き友人であるAlexanderは、りむルス察策を備えたすべおの仮想マシンの次のスキャン䞭に、私のサむトのルヌトディレクトリにある疑わしい.jsファむルを怜出し、VDSで提䟛しおいたすが、それを提䟛したせんでした倀...しかし、ホスティング管理者はすぐに心配になるず思いたす。

善の法人によっお私のサむトがブロックされおから、わずか2か月埌にすべおが終了したした。

画像



テキストによるず、私はあなたに䌝えたい



1. どのような問題に遭遇し、どのように認識したしたか。
2. 実際にどのように反応するか。
3. 問題を解決するのに誰が私を助けたのか、その助けは䜕でしたか。
4. 厩壊の危機にonしおいる自分自身のために、どのような結論を導きたしたか。
5. 誰がこれすべおを必芁ずしたすか
6. 実践的なアドバむス。
7. UFOが蚱可する堎合、新幎の気分を䌝えたす。




芁玄



ハッキング、そしお興味深いこずがVDSで起こり始めたした。数千人の受信者ぞのスパムメヌル送信、疑わしいスクリプトのむンストヌル、メむンサむトのルヌトでの奇劙なファむルの出珟。 率盎に蚀っお-それは怖かった...しかし、それは私が闇を砎ったようだ。





゚ントリヌ



私はこの蚘事をノヌトずしおも曞いおいるので、問題が再発した堎合に戻るこずができたす。 マルりェアずの戊いのプロセスに関心があるのは、以䞋です。 したがっお、実甚的なアドバむスを必芁ずする倚くの手玙がありたす-最埌たでスクロヌルしおください。



Debian Wheezyでホストしおいる自分のサむトをどのようにハッキングしたか、WordPressのサむトをハックし、それを必芁ずしおいる人



どのような問題に遭遇し、どのように認識したしたか


自分のサむトで同じjsスクリプトを芋぀けられなかった盎埌に萜ち着きたした。 今、私はこれが臎呜的な間違いであるこずを理解しおいたす。

私のサむトはDebian Wheezyで回転し、 i-mscpホスティングコントロヌルパネルispcpサクセサがむンストヌルされおいたす。個人甚のサむトもいく぀かありたす。したがっお、私は管理者であり、VDSぞのアクセスを誰にも蚱可したせん。



すべおがうたくセットアップされたので、セキュリティに぀いおは心配せず、ルヌトsshを䜿甚しお、サヌドパヌティのラむタヌのスクリプトを実隓甚にサむトに配眮したした。 WordPressサむトずそのためのプラグむンは、信じられないほどの量です。 私は時間がかかりたせんでしたを確認するには。 このサむトは成長し、新しいプラグむンずスクリプトで補充されたした...

なぜこれらすべおのプラグむン\拡匵機胜\スクリプトが必芁なのですか


私の友人はか぀お私に尋ねたした。 「゜ヌシャル化された」サむトが必芁だず答えたした。さたざたなスクリプトを詊し、それらがサむトの機胜ず倖芳にどのように圱響するかを確認したいず思いたす。 私はい぀も䜕かを改善しようずしたした...



問題番号2


最初の脅嚁に察応しなかったのは2週間埌です。 次の問題がありたした。

仕事䞭に座っおいるず、突然、そのようなメッセヌゞが配信されなかったずいうポストフィックスメヌルサヌバヌからのメッセヌゞが、Gmailメヌルのスパムフォルダヌに萜ち始めたす。 1秒あたり玄50件の配信䞍胜メッセヌゞ 。

私はサヌバヌに行き、ログを芋たす

tail -f /var/log/mail.log
      
      





そしお、メッセヌゞを録音するスピヌドは信じられないほど速いので、メヌラヌを停止したす。

 /etc/init.d/postfix stop
      
      





迷惑メヌルが止たりたした。メヌルの送信方法を確認しようずしおいたすが、経隓が足りないため、䜕を理解しおいないのですか。

経隓的に、メむンsysrtfm dot ruサむトのルヌトディレクトリの名前を倉曎したり、ホスティングコントロヌルパネルでドメむンをブロックするず、スパムが停止するこずがわかりたす。

圌らがメむンサむトを壊したずいう認識が、どのように

念のため、メヌラヌのキュヌ党䜓をクリアしたす。

 postsuper -d ALL
      
      



〜10,000文字削陀

8時間、巊翌スクリプトの存圚に぀いおサむトのディレクトリを手でチェックし、すべおのプラグむンを無効にしお、メヌラヌを起動し、ニュヌスレタヌを再床受け取りたした悲しい顔



その埌、偶然、サむトのルヌトディレクトリで、ファむル/css/sys0972500-1.phpのあるcssフォルダヌを芋぀けたした。 私のCMSのおおよその構造を知っおいれば、そのようなファむルは存圚すべきではないこずを理解しおいたす。 先月のバックアップをダりンロヌドしお解凍したしたが、ファむルが絶察に存圚しないはずです。 圌はどうやっおそこに行きたしたか この質問にはただ回答がありたせんが、他のファむルず同じ暩利がありたす。

Apacheログを読み取りたす。

 tail -f /var/log/apache2/sysrtfm.ru.log
      
      





そこを芋おください

 "POST /css/sys0972500-1.php HTTP/1.1" 404 55665 "-" "-"
      
      





ほが30秒ごず。

どうやら誰かがこのスクリプトを遠くから実行しおおり、ニュヌスレタヌを開始しおいるようです。

IPずすべおをブロックするように芋えたすが、ほずんど同じように倉曎されたす。 ファむルを含むディレクトリを削陀し、メヌル送信を停止したした。 事実䞊、たたは反察を受け入れない ハッキングがどのように発生したのか理解できたせんでしたが、問題をそのたた残したした。 ルヌトパスワヌドをより耇雑なものに倉曎し、䜿甚しなくなったプラグむンずスクリプトを無効にしたした。



次に発芋された問題は、WordPress゚ンゞンが非垞に人気があり、誰もがそれを砎ろうずしおいるこずです。 Apache2のログを読んだ埌、管理パネルのログむンフォヌムにブルヌトフォヌスのログむン攻撃が絶え間なく発生しおいるこずに気付きたした。 しかし、以来 私はこれを長い間疑っおいたした。ログむンに䜕床か倱敗した埌、ナヌザヌロックプラグむンをむンストヌルしおいたしたナヌザヌロッカヌ。

 tail -f /var/log/apache2/sysrtfm.ru.log
      
      





そこを参照しおください

 "POST /wp-login.php HTTP/1.0" 200 6891 "http://sysrtfm.ru/wp-login.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
      
      





非垞に高い頻床で。 この攻撃方法に察する保護は、別の議論のトピックです。 ここでは、ログむン詊行を数回行った埌、IPアドレスで攻撃者をブロックするプラグむンを远加したした。



第3号


スパムや巊翌スクリプトなしで3週間が経過したした。

ログを確認するためにVDSに行き、同じファむルがサむトのルヌトにあるこずを発芋し、ニュヌスレタヌが再び起動されたしたが、はるかに小さいボリュヌムで...私は頭を぀かみたした。

私はアンチりむルスでサむトをオンラむンでクロヌルし始めおいたす



フォヌラムを怜玢しおも結果は埗られたせん。 しかし、私は倚くの助けになった蚘事を芋぀けたしたこれたで、私はそれを開いたたたのタブを保持したす。

どのスクリプトがニュヌスレタヌを起動するかを理解するために、メヌルサヌバヌの拡匵ログを有効にするプロセスに぀いお説明したす。



ネタバレの䞋の蚘事の゜ヌスコヌド
そのため、Debianベヌスのサヌバヌがありたす。

サヌバヌからの送信スパムに関する苊情。



タスクディスパッチキュヌをクリアし、理由を芋぀けたす。

解決策もちろん、倚くのオプションがありたす。 それらの1぀を怜蚎しおください。



1. SSH経由で接続し、メッセヌゞキュヌを確認したす。

 mailq
      
      





はい、たくさんの手玙がありたす。



2.メヌルサヌバヌを無効にしたす埌眮コスト

 /etc/init.d/postfix stop
      
      







3. 25番目のポヌトの接続を確認したす。

 netstat -apn | grep :25
      
      





確立されおいない堎合、ロヌカルメヌルサヌバヌをバむパスしおメヌルを送信する悪意のあるスクリプトを介しおスパムが送信されないこずを意味したす。



4.手玙の列をクリアしたす

Exim

 exipick -i | xargs exim -Mrm
      
      





埌眮

 postsuper -d ALL
      
      





Sendmail

 rm -rf /var/spool/mqueue/*
      
      





もちろん、これを行うこずができればキュヌには実際のナヌザヌぞの実際の手玙があるかもしれたせん。

 postsuper -d ALL postsuper: Deleted: 72849 messages
      
      







5.高床なメヌルロギングを有効にしおみたす。

 mv /usr/sbin/sendmail /usr/sbin/sendmail.org touch /usr/sbin/sendmail chmod +x /usr/sbin/sendmail
      
      





 echo -n '#!/bin/bash logger -p mail.info sendmail-ext-log: site=${HTTP_HOST}, client=${REMOTE_ADDR}, script=${SCRIPT_NAME}, pwd=${PWD}, uid=${UID}, user=$(whoami) /usr/sbin/sendmail.org -t -i' > /usr/sbin/sendmail
      
      







6.メヌルサヌバヌを起動したす

 /etc/init.d/postfix start
      
      







7.ログを芋る

 tail -f /var/log/mail.info
      
      





次のようなものが衚瀺されたす。

 Jan 23 16:25:25 danma logger: sendmail-ext-log: site=, client=, script=send.php, pwd=/var/www/danma/data/www/site.ru, uid=33, user=www-data Jan 23 16:25:25 danma postfix/pickup[11520]: E3CD259403D: uid=33 from= Jan 23 16:25:25 danma postfix/cleanup[11522]: E3CD259403D: message-id=
      
      







これが行動の遞択肢の1぀であるずいう事実に泚目したす。

苊情にレタヌIDがある堎合、送信ログで確認する䟡倀がありたす。

サヌバヌがオヌプン゜ヌスであるこずがたたたたありたす。

たた、メヌルボックスのパスワヌドを遞択しただけの堎合もありたす。泚意する䟡倀もありたす。



䜜者のおかげで 、 ここから取られたした 



ロギングを有効にした埌、このスクリプト/css/sys0972500-1.phpからスパムメヌリングが開始されたこずがわかりたしたが、これはcssディレクトリのファむルが3回目に出珟した埌です...

圌らはどのように私を砎りたしたか どこ 私は䜕か他のものに感染しおいるこずがわかりたした...



発行番号4


今回、友人が私に手玙を曞いお、Kaspersky Anti-Virusは私のサむトで圌を蚱可しおいない、

画像

Google Chromeは別のコンピュヌタヌを手攟したせん。この蚘事のヘッダヌに非垞に赀い空癜が衚瀺されおいたす... Googleがりェブマスタヌツヌルバヌに次のように曞いおサむトを犁止しおいるのを芋お、非垞に怒っおいたした。

「サむトから、ナヌザヌのクラむアントPCにマルりェアがむンストヌルされたした。 以䞋からむンストヌルが実行されたリンク

サむトからのいく぀かのリンク”


ダンデックスは䜕も疑わなかった...



私はすぐに問題を十分に早く打ち砎ったず蚀わなければなりたせん。 ここに私がやったこずがありたす

  1. ファむルが再床生成され、悪意のあるファむルがキャッシュから取埗されないように、CMSキャッシングプラグむンを無効にしたした
  2. もう䞀床、オンラむンりむルス察策デヌタベヌスのサむトをチェックしたした。このりむルス察策アラヌムruは、䜕よりも圹に立ちたした。
  3. なぜなら このチェックでは、次のように曞かれおいたす。

    Googleバヌゞョンの疑わしいリンクが含たれおいたすfeeds feedburner com

    Googleバヌゞョンの疑わしいリンクが含たれおいたすwww facebook com

    Googleバヌゞョンの疑わしいリンクが含たれおいたすwww liveinternet ru


    再び、私はサヌドパヌティのWordpressプラグむン、゜ヌシャルボタン、コメントなどの束をオフにしたした。

    蚘事のクロス投皿があった゜ヌシャルネットワヌクのサむトぞの移行も、Googleによっお犁止されたした。これは、私のサむトから資料があったためです。
  4. Googleのサポヌトでブロックの決定を確認するリク゚ストを䜜成したしたブロックの理由が蚘茉されおいるのず同じペヌゞのセクション「セキュリティの問題」
  5. 䞍正なフィッシングアラヌトを報告するためのフォヌムに蚘入したした。
  6. なぜなら 最埌の2点は24時間ず芋なされ、ハッキングの可胜性の理由を積極的に怜玢し始めたした。 それから、ftpをチェックしなかったこずがわかりたした
  7. proftpdサヌバヌログを読み取りたす。

     cat /var/log/proftpd/xferlog
          
          





    非垞に興味深いこずがわかりたした。

     176.28.52.119 42278 /var/www/virtual/sysrtfm.ru/htdocs/css/sys0972500-1.php a _ ir admin@sysrtfm.ru ftp 0 * c
          
          





    そしお、私はすべおを理解したした...悲しい顔文字admin@sysrtfm.ruアカりントを壊したした。すぐにパスワヌドずログむンを倉曎したした。他のすべおのftpアカりントもブロックしたした。

    別のレコヌドが芋぀かりたした

     31.7.234.34 0 /var/www/virtual/sysrtfm.ru/htdocs/css/c3x.php b _ or admin@sysrtfm.ru ftp 0 * c
          
          





    これはすべお同じオペラからのもので、ファむルは削陀されたしたが、ブロックの理由はこれではありたせんでした。
  8. それから、 ここでGoogleりェブマスタヌのテクニカルサポヌトのフォヌラムでトピックを開始したした 。

    良い人がいたす。圌らはサむトからダりンロヌドしたスクリプトで興味深いものを芋぀けたした

    マルりェアは䜕をしたしたか

    -ファむルwp-content / plugins / usernoise / js / usernoise.jsをftpで倉曎し、最埌に別のスクリプトを远加/wp-includes/images/smilies/skynet.js

    このスクリプトは、ブラりザヌがGoogle Chromeでない堎合にのみ実行され、ナヌザヌのPCにマルりェアをダりンロヌドするこずが刀明したした。

    -次に、/ wp-includes / images / crystal / gocubs.jsスクリプトが登録された/wp-content/plugins/lazy-load/js/lazy-load.jsファむルが感染したした
  9. WinSCPサむトプログラムをロヌカルディスクにダりンロヌドし、 total commanderを起動し、ダりンロヌドしたディレクトリに移動しお、すべおのファむルの匏の怜玢を開始したした。

     cr"±"ipt skynet.js doc​ument.write
          
          





    芋぀かったすべおのオカレンスはクリヌンアップされたした。 そしお、圌は䜙分なものも削陀しなかったようです。
  10. これらの発生に぀いお、ブラりザによっおダりンロヌドされたすべおのスクリプトを手動でチェックしたした。 他に䜕も芋぀かりたせんでした


12時間埌、Googleはサむトのロックを解陀したしたが、統蚈情報はただ䜎䞋しおいたした

これで問題は解決したしたが、今では倚くの結論を出したした....



どう反応するか。


今、私はあなたの安党ず財政状況だけでなく、あなたの顧客の最も重芁な財政的安党性もこれに䟝存しおいる、あらゆるレベルのサむトでそのような問題を蚱すこずができないこずを理解しおいたす...

2か月前に正しく反応した堎合、写真付きのフォルダヌにある疑わしいjsファむルに関する友人からのメッセヌゞに察しお。 すべおが異なりたす。

これは私にずっお深刻な教蚓でした。今、私はそのようなこずをもっず真剣に考えたす すべおの初心者のWebプログラマヌなどにアドバむスするこず



誰が問題を解決するのを助けおくれたしたか


  1. Alexander Krainev-技術的および道埳的なサポヌト、ヒント、アドバむス、私のサむトが存圚するddos itservices.su からの保護を備えたホスティング。
  2. Googleアナリティクスは、SEOのツヌルであるだけでなく、脆匱性を芋぀ける手段でもありたす。 そこでは、より原始的なAWStatsサむト統蚈ツヌルのように、ナヌザヌが最も頻繁にノックする堎所を探したした。 たずえば、私にずっおは、蚪問した䞊䜍10ペヌゞで、WP認蚌ペヌゞが最初にありたす同じブルヌトフォヌスが必芁であるこずは䞍思議ではありたせん。あなたはそれに぀いお䜕かをする必芁がありたす。
  3. Googleりェブマスタヌツヌルフォヌラムは非垞に䟿利です。
  4. Google Chromeデバッグパネル-それなしでは、䜕もしたせん...調査䞭のペヌゞでF12を抌しお、調査䞭です
  5. Putty、WinSCP、TotalCommander-それらがなければは垞に手元にありたす




厩壊の危機にbeingしおいる自分自身にどんな結論を導きたしたか


問題をそのような状態にするこずはできたせん。 私のサむトで発生した問題、およびクラむアントサむトで発生する可胜性のある問題は、近い将来に拡匵モヌドで構築する胜力の䞍足による私の問題です。



誰がこれをすべお必芁ずしたすか


誰がこれをすべお必芁ずしたすか これらすべおの攻撃、りむルス、スパむりェア 倚くの人がこれらの質問に察する答えを知っおいたす。 私の芖点に぀いお説明したす。



倚くの人々\プログラマ\マルりェアが広告プラットフォヌムにリ゜ヌスを提䟛するこずで収入を埗たり、同じ広告目的のために情報をさらに利甚するために収集したりしたす。 サむトや悪意のあるプログラムに察するほずんどの攻撃は、これらの目的のために存圚するず思いたす。

その埌、広告䌚瀟はこのリ゜ヌスを賌入しお、この広告プラットフォヌムをより高䟡に顧客に販売したす。

無料のブログ゚ンゞンで100,000個のハッキングされたサむトのネットワヌクを想像しおください。マルりェアプログラマがそれらをハッキングしたした。 このリ゜ヌスを広告䌚瀟に売华し、広告䌚瀟は出版甚の資料やリンクを準備し、プログラマヌはハッキングされたりェブサむトで数回クリックするだけでこの䌚瀟党䜓を立ち䞊げたす。この膚倧なトラフィックはむンタヌネット党䜓に莫倧なお金をもたらしたす。

圓然、ハッキングを習うだけの無害な孊童から、マルりェアのむンストヌルやナヌザヌの個人デヌタの盗難゜ヌシャルネットワヌクからサヌドパヌティぞのクレゞットカヌドパラメヌタヌ、ログむン、パスワヌドの転送たで、倚くのアプリケヌションが考えられたす。マルりェアは、サむトや人気のあるリ゜ヌスの脆匱性を垞に怜玢したす。



実甚的なヒント


むンタヌネットにはそのようなヒントがたくさんありたす。私はここで本圓に䟡倀のある私芋を集めたす。

  1. どのような状況でも 、サヌビスadmin、user、login、administratorなどでの承認のために暙準の単玔なナヌザヌ名を䜿甚しないでください。 これにより、セキュリティが最䜎50向䞊したす。 さらに、キャプチャたたはヒュヌマンテストを䜿甚したす。
  2. 垞にバックアップしたす。質問はありたせん。垞にバックアップが必芁です。 たずえば、私はRKをロヌカルで実行し、スクリプトを䜿甚しおスクリプトをWebda v 経由で倜に1回Yandexディスクにマヌゞし、週に1回すべおを自宅のコンピュヌタヌに転送したす。

    毒をマりントし、RKをコピヌしお通知を送信するBashスクリプト
     #!/bin/sh # ,    STARTB="`date +%Y-%m-%d-%H:%M:%S`" #    BACKUPDIR1="/var/www/virtual/sysrtfm.ru/backups/" #     YDISK="/mnt/yandex.disk" #         BTDIR="siteback" #        TARGETDIR="${YDISK}/${BTDIR}/" DATETIME="`date +%Y-%m-%d-%H_%M_%S`" #    LOGFILEDATE="`date +%Y%m%d`" #    LOGFILE="/var/log/backupall-${LOGFILEDATE}.log" echo `date +%Y-%m-%d-%H:%M:%S`"  " >> $LOGFILE #      umount -f $YDISK >> $LOGFILE #   echo `date +%Y-%m-%d-%H:%M:%S` " ${YDISK}" >> $LOGFILE mount -t davfs https://webdav.yandex.ru:443 $YDISK >> $LOGFILE #  echo `date +%Y-%m-%d-%H:%M:%S` "  ${TARGETDIR}${DATETIME}" >> $LOGFILE mkdir ${TARGETDIR}${DATETIME} >> $LOGFILE cd $BACKUPDIR1 >> $LOGFILE cp -r -f -p * ${TARGETDIR}${DATETIME} >> $LOGFILE umount -f $YDISK >> $LOGFILE #   ENDB="`date +%H:%M:%S`" #   STARTEND="Backup script Start of ${STARTB} End of ${ENDB}" mail -s "${STARTEND}" email@domain.com < $LOGFILE exit
          
          







  3. どんなに平凡な蚀葉でも、今ではもっず耇雑なパスワヌドを生成たたは発明するこずをみんなに勧めおいたす 。 パスワヌドはノヌトブックに保存するかANikiBenikiはそこに到達したせん、10回蚘憶するこずができたす。 しかし、いずれにしおも、アクセスを取り戻し、情報挏掩による問題を解決するよりも簡単です。
  4. 人気のあるWebスクリプトたたはCMSを䜿甚する堎合は、それらの曎新にご泚目ください。 垞に穎がありたす。 フィヌドバックなしで未怜蚌のスクリプトを䜿甚しないようにしおください。 サポヌトされおいない叀いWEBスクリプトを䜿甚しないでください。
  5. プラグむンたたは.httpasswd保護されたディレクトリに眮くだけのファむルを生成するためのりィザヌドを介した認蚌蚭定で、WEB管理むンタヌフェヌスを保護する機䌚が垞にありたす
  6. サヌビスぞのSSLアクセスを有効にできる堎合は、 有効にしおください  SFTP 、 HTTPS 、 SSHの保護における4぀のステップ 。
  7. すべおが結び付けられおいるメヌルの䞖話をしおください  匷力なパスワヌド 、 2段階認蚌が必芁です




さらにマニックのヒントがありたす。 しかし、私は䞊蚘が最初に実装されるず考えおいたす。 さらに、各自がサヌビスを保護するためにどこたで行けるかを決定したす。



PS



そしお、私は暗闇を砎り、非垞に満足しおいたす経隓が蓄積され、サむトが機胜し、システムが生きおいたす今では尊敬されおいるhabrahabrコミュニティずこれを議論するだけです新幎の招埅



次に、匿名のサンタクロヌスのプロゞェクトに登録し、Habrausersに有甚なものを提瀺したす。


敬具、 むノァン・レフキン 。

IMG_0081

キダノンEF 24-105フヌド付きサヌモマグは、同じ名前のレンズの正確なコピヌです。 マグカップには、飲み物の枩床を䞀定に保぀ための金属補のサヌモバルブず、ゎム補ガスケットが付いた密閉匏のふたが付いおいたす。

sku_35741_4

コンパクトなスリムな匕き蟌み匏ケヌブルスタむルUSB 2.0オプティカルマりス-ブラック80CMケヌブル

sku_48166_1

EDUP Ultra-Mini Nano USB 2.0 802.11n 150Mbps Wifi / WLANワむダレスネットワヌクアダプタヌ




All Articles