ウェブサイトのハッキングにうまく対処するにはどうすればよいでしょうか?

2018年最もホットなプロジェクト：テレマーケティングロボットがあなたの参加を待っています

2018 年 6 月 19 日、新規顧客から、自分の Web サイトがハッキングされ、ホームページがハッカーによって改ざんされたとの報告がありました。Web サイトと一致しないコンテンツと暗号化されたコードがホームページに追加されたため、Baidu URL セキュリティ センターから「このページにはトロイの木馬ウイルスが含まれている可能性があります」という警告が表示されました。 Baidu でのウェブサイトの取り込みとスナップショットも、ワールドカップ**、**、** などのコンテンツに乗っ取られていました。 ウェブサイトがハッキングされたという上記の顧客からのフィードバックに基づいて、当社の SINE セキュリティ カンパニーは、セキュリティ技術者を手配し、ハッキングされた顧客のウェブサイトに対して詳細なウェブサイト セキュリティ テストと手動コード セキュリティ監査を実施しました。 顧客のウェブサイトのホームページは頻繁に改ざんされていたことが判明しました。 顧客はホームページ ファイルを削除してからホームページを再生成することしかできませんでした。 本当に何度も改ざんされており、他に方法がなかったため、お客様は当社の SINE セキュリティ カンパニーにウェブサイトのセキュリティ問題に対処するよう依頼しました。

1. ウェブサイトがハッキングされた状況の分析

1. お客様のウェブサイトは、Dedecms システム (PHP+MYSQL データベース アーキテクチャ) を使用しています。近年、Dedecms の脆弱性が多すぎましたが、現在では Dedecms を使用しているウェブサイトやプラットフォームがたくさんあります。一般的に、企業のウェブサイトや最適化とランキングを行うウェブサイトは、この Dedecms プログラムで構築されています。最適化とアクセス速度が速いです。サイト全体の静的ファイルを生成できるため、記事の管理と更新、ウェブサイトのオープン速度の促進、キーワードの最適化と改善に便利です。クライアントとのやり取りを通じて、クライアントのウェブサイトに新しい記事が公開され、バックグラウンドで新しい HTML ページが生成されたり、ホームページの index.html が生成されたりするたびに、攻撃者が暗号化されたコードや ** コンテンツを直接追加していることがわかりました。図は次のとおりです。

ウェブサイトの改ざんされた内容は、エクストリームスピードレース、**、**、**、ワールドカップ**などの無関係な内容を追加することであり、ウェブサイトのコードもJS判定ジャンプを引き起こします。Baidu検索から来た顧客は、エクストリームスピードレース、**、**のページにダイレクトにジャンプし、360プロンプト**ウェブサイトブロックにつながります。Baiduプロンプトリスクブロックの画像は次のとおりです。

この Web サイトでは、Baidu 検索で直接リスク警告が表示されます: Baidu URL セキュリティ センターから次の警告が表示されます: このページにはトロイの木馬ウイルスが含まれている可能性があります。

顧客のウェブサイト上のすべてのコードのセキュリティ テストとコードの手動セキュリティ監査を通じて、ウェブサイトのホームページの index.html の内容が改ざんされており、dedecms テンプレート ディレクトリ ファイルの下にある index.htm ファイルも改ざんされていることが判明しました。

index.htm テンプレート ファイルを開いてコードを見てみましょう。

スピードレース企画ソフトウェアアプリダウンロード_スピードレース賞ライブ放送_スピードレース登録ログイン-スピードレース公式サイトプラットフォーム。

以下のコードは暗号化されたJSジャンプコードで、Baidu検索などの該当条件に基づいて判断し、ジャンプします。ウェブサイトのドメイン名を直接入力してもジャンプしません。

上記にいくつかの暗号化コードが見つかり、暗号化された暗号解読を行った結果、** と ** 関連のコンテンツであることが判明しました。ホームページ生成後に改ざんされたコンテンツを直接削除し、ウェブサイトに残っているトロイの木馬ウイルスとトロイの木馬バックドアを消去し、ウェブサイトの脆弱性検出と脆弱性修復を行い、ウェブサイト改ざん防止ソリューションを導入しました。

2. ハッキングされたウェブサイトのクリーンアッププロセスの記録

1. SINEセキュリティテクノロジーがウェブサイトを監査した後、セキュリティ処理中に、ウェブサイトのルートディレクトリにあるdatas.phpファイルの内容がアサートタイプのワンセンテンストロイの木馬であることが判明しました。

トロイの木馬が見つかったので、PHP スクリプト トロイの木馬があるはずです。次に、css ディレクトリに base64 で暗号化されたファイルを見つけました。トロイの木馬のアドレスにアクセスしたところ、確かにトロイの木馬ウイルスであることがわかりました。画像は次のとおりです。

PHP スクリプト トロイの木馬は操作権限が強すぎます。ファイルの編集や名前の変更、悪意のある SQL 文の実行、サーバーのシステム情報の閲覧が可能です。Web サイト上のすべてのプログラム コードをスキャンしてトロイの木馬の機能を調べ、N 個の Web サイト トロイの木馬ファイルを発見しました。Web サイトが何度もハッキングされ、改ざんされたため、顧客が血を吐きそうになったと言ったのも無理はありません。スキャンされたトロイの木馬ウイルスを下の図に示します。

クライアントの Web サイトは別のサーバーを使用していたため、当社のセキュリティ技術者がすべてのスクリプト、トロイの木馬、バックドアを直接削除してクリーンアップしました。また、サーバーのセキュリティは、Webサイトのセキュリティを保護する必要があります3306、135、445、および139は、すべての外部ネットワーク接続を防止し、その後、サーバーで詳細なサーバーセキュリティ設定と展開を実行しました。ページ吊り下げ、ワンセンテンスポニー、ASPXポニー、スクリプトトロイの木馬、繊細な情報漏れテスト、ディレクトリトラバーサル、弱いパスワードセキュリティテストを含むWebページのトロイの木馬検出。これまでも平均して1日2～3回、お客様のWebサイトが改ざんされていたため、セキュリティ導入後、本日20日まで、お客様のWebサイトへのアクセスは正常であり、改ざんは発生しておりません。

3. ハッキングされたウェブサイトに対する保護の提案

1. サーバー システムの脆弱性 (Windows 2008 2012、Linux CentOS システム) を定期的に更新し、Web サイト システムをアップグレードし、サードパーティの API プラグイン コードを使用しないようにします。

2. プログラムコードにあまり詳しくない場合は、ウェブサイトの脆弱性を修復するとともに、コードセキュリティテストを実行し、トロイの木馬バックドアを削除するウェブサイトセキュリティ会社を見つけることをお勧めします。国内では、SINE Security、Green Alliance Security、Venustechなどのウェブサイトセキュリティ会社をお勧めします。これらの会社は、ウェブサイトの安全で安定した運用を確保し、ウェブサイトがハッキングされるなどのセキュリティ問題を防ぐために、徹底したウェブサイトセキュリティサービスを提供しています。

3. ウェブサイトのバックエンド ユーザーのパスワードは、単純化しすぎないようにしてください。大文字、小文字、数字、記号を含む 10 ～ 18 文字の組み合わせにする必要があります。

4. ウェブサイトのバックエンド管理のパスには、デフォルトの admin、guanli、manage、または admin.asp という名前のファイルを使用してアクセスしないでください。

5. ポートセキュリティポリシー、レジストリセキュリティ、基盤システムのセキュリティ強化など、サーバーの基本的なセキュリティ設定を詳細に行う必要があります。そうしないと、サーバーが安全でなければ、Web サイトがどれだけ安全であっても役に立たなくなります。

ソース

元のタイトル: ウェブサイトのハッキングに適切に対処するには?

キーワード: