複数サイト改ざんされ、クリーンアップ後、1日たちました。
今のところ収まったようです。
のこり、数サイト改ざんされたままです。同じ処理を行います。
今回気づいたこと
imagesやuploadsのような画像保存フォルダー内も入念にチェックすることです。特に、.gifや
.pngのような画像ファイルは、認識アイコンがテキストファイルを表すアイコンになっていないかチェックしましょう。なっていたらバックドアとおもわれます。
2017年9月14日木曜日
2017年9月13日水曜日
welcartにオブジェクトインジェクション脆弱性 1.9.4に至急バージョンアップ必須
1週間前から続けて複数のサーバーが改ざん。
これは笑えない。同じハッカーによる改ざんだったからです。バックドアの内容が全く同じ。改ざんしたサーバーを使いスパムメールを大量にばらまく。カリビアンコムにリダイレクトさせる。
この手口は過去と同様です。早速、クリーンアップしてみました。全ファイルではなく、画像ファイルやCGIで使用しているフォルダーはさほどチェックしませんでした。
FTPアクセス制限設置、効果なし。
パスワード変更、効果なし。
プラグインすべて最新版に入れ替え、効果なし。
テーマないのファイルすべてチェック、効果なし。
発見した、改ざん個所
index.php
wp-config.php
header.php
バックドア、5から6か所
バック度は、画像ファイルフォルダーやCGIフォルダー内、などチェックしないような箇所に設置されています。
また、,icoファイルがバックドアだったこともあります。過去、gifファイルがバックドアだったことがあります。
これは厄介、8サイト改ざんされ、3日たってもまだ1サイトも クリアされていない。
本日、ヘテムルからの連絡で、至急welcartを1.9.4にバージョンアップするよう指示がりました。1.9.4いつのバージョン?9/12公開されたばかりのバージョン。
そういえば、改ざんされたサーバーはwelcartがインストールされているサーバーばかりでした。
至急入手しました。とりあえず、下記のことを行い、様子見です。
1.
最新版のwordpressとプラグインをオフィシャルサイトから入手しました。
2.
バックアップのテーマを用意
3.
クリーンなwp-config.phpを用意
3.
FTPでサーバーのファイルを削除
4.
最新版のwordpressとプラグインをアップ
5.
wp-onfig.phpをアップ
6.
wp-content内にあるuploadsフォルダの画像をすべてチェック(アイコンを見ます)
7.
テーマをアップ
8.
ログインして welcartを無効にする
9
その後で、有効に戻す。
10.
商品購入で正常に動作することを確認。
これで様子見です。
もちろん、パスワード関係はすべて変更しています。
これは笑えない。同じハッカーによる改ざんだったからです。バックドアの内容が全く同じ。改ざんしたサーバーを使いスパムメールを大量にばらまく。カリビアンコムにリダイレクトさせる。
この手口は過去と同様です。早速、クリーンアップしてみました。全ファイルではなく、画像ファイルやCGIで使用しているフォルダーはさほどチェックしませんでした。
FTPアクセス制限設置、効果なし。
パスワード変更、効果なし。
プラグインすべて最新版に入れ替え、効果なし。
テーマないのファイルすべてチェック、効果なし。
発見した、改ざん個所
index.php
wp-config.php
header.php
バックドア、5から6か所
バック度は、画像ファイルフォルダーやCGIフォルダー内、などチェックしないような箇所に設置されています。
また、,icoファイルがバックドアだったこともあります。過去、gifファイルがバックドアだったことがあります。
これは厄介、8サイト改ざんされ、3日たってもまだ1サイトも クリアされていない。
本日、ヘテムルからの連絡で、至急welcartを1.9.4にバージョンアップするよう指示がりました。1.9.4いつのバージョン?9/12公開されたばかりのバージョン。
そういえば、改ざんされたサーバーはwelcartがインストールされているサーバーばかりでした。
至急入手しました。とりあえず、下記のことを行い、様子見です。
1.
最新版のwordpressとプラグインをオフィシャルサイトから入手しました。
2.
バックアップのテーマを用意
3.
クリーンなwp-config.phpを用意
3.
FTPでサーバーのファイルを削除
4.
最新版のwordpressとプラグインをアップ
5.
wp-onfig.phpをアップ
6.
wp-content内にあるuploadsフォルダの画像をすべてチェック(アイコンを見ます)
7.
テーマをアップ
8.
ログインして welcartを無効にする
9
その後で、有効に戻す。
10.
商品購入で正常に動作することを確認。
これで様子見です。
もちろん、パスワード関係はすべて変更しています。
2017年9月2日土曜日
最近のホームページ改ざんは減っている?増えている?
久しぶりの投稿です。
ホームページ改ざんが減って書くことがなくなったのではなく、むしろ巧妙な改ざんが増えて書いている余裕がなかったというのが本当のところです。
Google検索で「悪意のサイト」、「このサイトは第三者によってハッキングされている可能性があります」等の警告が以前に比べ減っているような気がします。
気がするだけで、本当は増えているのかもしれません。ただ、最近の改ざんは、このような警告を出させないよう手口が巧妙になってきています。改ざんに成功しても、Google検索やウィルススキャンソフトにより瞬時にブロックされては「苦労」して改ざんした意味がなくなります。
こんなバカげた「苦労」はやめてももらいたいです。最近では、改ざんされたホームページを修正するサービスが多くなってきました。どれも100%元に戻すことを保証するサービスではありません。
Wordpressや他のCMSでホームページを作成している場合は、テーマとデータベースのバックアップは必須です。これさえ行っていれば改ざんされても修復は可能です。
改ざんしたホームページのメール送信機能を利用して大量のスパム(ウィルス)メールをばら撒きます。 しかも、ウィルススキャンで検知できないことが多々あります。
バックドアを設定されると、パスワード変更、バージョンアップ、FTPアクセス制限は効果がありません。これらのことは不正ファイルをすべて駆除してから行うことです。
バックドアは複数設定されています。imagesフォルダー、uploadsフォルダー等、意外な場所に設定しているケースが多く、駆除するためには、全ファイルを新しいファイルで入れ替えることです。
先月末の改ざんでアップされていたファイルの中身です。この種のファイルが至る所に置かれています。
ホームページ改ざんが減って書くことがなくなったのではなく、むしろ巧妙な改ざんが増えて書いている余裕がなかったというのが本当のところです。
Google検索で「悪意のサイト」、「このサイトは第三者によってハッキングされている可能性があります」等の警告が以前に比べ減っているような気がします。
気がするだけで、本当は増えているのかもしれません。ただ、最近の改ざんは、このような警告を出させないよう手口が巧妙になってきています。改ざんに成功しても、Google検索やウィルススキャンソフトにより瞬時にブロックされては「苦労」して改ざんした意味がなくなります。
こんなバカげた「苦労」はやめてももらいたいです。最近では、改ざんされたホームページを修正するサービスが多くなってきました。どれも100%元に戻すことを保証するサービスではありません。
Wordpressや他のCMSでホームページを作成している場合は、テーマとデータベースのバックアップは必須です。これさえ行っていれば改ざんされても修復は可能です。
最近の巧妙な改ざん手口
改ざんしたホームページのメール送信機能を利用して大量のスパム(ウィルス)メールをばら撒きます。 しかも、ウィルススキャンで検知できないことが多々あります。
バックドアを設定されると、パスワード変更、バージョンアップ、FTPアクセス制限は効果がありません。これらのことは不正ファイルをすべて駆除してから行うことです。
バックドアは複数設定されています。imagesフォルダー、uploadsフォルダー等、意外な場所に設定しているケースが多く、駆除するためには、全ファイルを新しいファイルで入れ替えることです。
先月末の改ざんでアップされていたファイルの中身です。この種のファイルが至る所に置かれています。
2017年1月18日水曜日
クリックするとpopアップでfindbetterresults.comへ
厄介な改ざんがありました。
ワードプレスで作成したページ、どのリンクボタンを押しても下記のサイトがポップアップで表示されます。
このサイトはマルウェアをばら撒いているようです。
とりあえず、パスワードを変更しました。
バックドアはありませんでした。
次に、FTPでワードプレスのデータをすべて削除して、新しいファイルをアップしました。
プラグインをすべて最新版にし、テーマ内にあるjsファイルを無効にしました。
解決しません。
検索すると、 findbetterresults.comがポップアップで開くトラブルが多発していることに気づきました。これらはPCにマルウェアがダウンロードされて起こる現象で、今回の改ざんとは違いました。
唯一アメリカの投稿で、ワードプレスで作成されたページがどのリンクをクリックしてもfindbetterresults.comのポップアップが表示されてしまい、解決していない記事を読みました。
これは、厄介????
テーマを変えてみました。 ポップアップは起こらない。
ポップアップのソースはテーマにあることがはっきりしました。
もっとも怪しいheader.phpですが、これは最初に徹底的にチェックしました。
残りはfooter.php、一行怪しいスクリプトがありました。そのコードが読み込んでいたのがfindbetterresults.comのポップアップソースでした。
この一行を削除してとりあえず、解決です。
パスワードは16桁英数字混合で作成しました。
約5時間の格闘でした。
js
ワードプレスで作成したページ、どのリンクボタンを押しても下記のサイトがポップアップで表示されます。
findbetterresults.com
このサイトはマルウェアをばら撒いているようです。
とりあえず、パスワードを変更しました。
バックドアはありませんでした。
次に、FTPでワードプレスのデータをすべて削除して、新しいファイルをアップしました。
プラグインをすべて最新版にし、テーマ内にあるjsファイルを無効にしました。
解決しません。
検索すると、 findbetterresults.comがポップアップで開くトラブルが多発していることに気づきました。これらはPCにマルウェアがダウンロードされて起こる現象で、今回の改ざんとは違いました。
唯一アメリカの投稿で、ワードプレスで作成されたページがどのリンクをクリックしてもfindbetterresults.comのポップアップが表示されてしまい、解決していない記事を読みました。
これは、厄介????
テーマを変えてみました。 ポップアップは起こらない。
ポップアップのソースはテーマにあることがはっきりしました。
もっとも怪しいheader.phpですが、これは最初に徹底的にチェックしました。
残りはfooter.php、一行怪しいスクリプトがありました。そのコードが読み込んでいたのがfindbetterresults.comのポップアップソースでした。
この一行を削除してとりあえず、解決です。
パスワードは16桁英数字混合で作成しました。
約5時間の格闘でした。
js
登録:
投稿 (Atom)