egrepを使用することにより、必要に応じて複数の言葉を同時に検索できるため、この例では時間を短縮することが可能です。
あるいは、次のようなものを試してみてください:
# grep -r "http://canadapharmacy.com" .これは、感染がエンコード、暗号化、または連結されていない場合にのみ機能します。
もうひとつの有用な方法は、異なるユーザーエージェントやリファラーを介してウェブサイトにアクセスする方法です。 以下は、ある Web サイトで Microsoft IE 6 のリファラーを使用した場合の例です:
Bots vs Browsers を試して、多数の異なるブラウザーを通じて Web サイトを確認してください。
ターミナル ユーザーも CURL:
# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.comどのようにして防ぐか?
farma hack を防ぐのは難しいものです。 Sucuri は、ハッキングが定期的に脆弱な古いソフトウェアを悪用することを発見しました。 しかし、あなたの古いWordPressのインストールが必ずしも問題であるとは限りません。 たとえ最新版であっても、同じサーバーにある別の古いインストールが感染する可能性があります。 本当のペイロードが、あなたのウェブサイトのディレクトリ内ではなく、サーバー上の別の場所に存在する場合、それを捕捉することは非常に困難となります。
自分のインストールで感染を見つけられなかった場合の例を挙げます:
ファーマ ハッキングを防ぐには、次の 2 つのことを行う必要があります。
悪意のあるリダイレクト
悪意のあるリダイレクトは、ユーザーを悪意のあるWebサイトに送り込みます。 2010年には、42,926の新しい悪意のあるドメインが検出されました。 2011年には、この数は55,294に増加しました。
訪問者がメイン以外の Web サイトにリダイレクトされた場合、その Web サイトに悪意のあるペイロードが含まれている場合もあれば、含まれていない場合もあります。 例えば、myhappysite.comにウェブサイトがあるとします。誰かがそのウェブサイトにアクセスすると、そのウェブサイトはmeansite.com/stats.phpに移動し、そのウェブサイトのstats.phpファイル内に悪質なペイロードが存在する可能性があります。 あるいは、広告だけの無害な Web サイトである可能性もあります。
どのように攻撃されるのか
多くのマルウェア攻撃と同様に、それはアクセスに帰結します。 悪意のあるリダイレクトは、バックドアによって生成される可能性があります。 ハッカーは、TimThumb や古いバージョンの WordPress などの脆弱性をスキャンし、それを見つけると、バックドアとして機能するペイロードをアップロードします。
どのように見えるのでしょうか。 多くの場合、リダイレクトは .htaccess ファイルで見つかり、次のように見えます:
または次のようになります:
場合によっては、エンコードされて PHP ファイルのいずれかに存在する可能性があります。 その場合、通常は header.php, footer.php, index.php ファイルにあります。また、ルートの index.php ファイルや他のコアテンプレートファイルにも存在することが知られています。 常にエンコードされているわけではありませんが、エンコードされている場合は次のようになります:
どうすれば感染したかどうかを判断できますか。 以下はその例です:
- SiteCheck などの無料のスキャナーを使用する。 6042>
- Bots vs Browser を使用してテストする。
- ユーザーの声を聞く。
ユーザーが問題を発見した場合、問題を診断するために適切な質問をする。
ユーザーから得られる情報が多いほど、問題を再現して修正方法を見つけることができます。
.htaccessファイルを開きます。- 自分で追加した書き換えルールをコピーします。
- 上のサンプルのような悪質なコードを識別し、ファイルから削除します。
.htaccessの一番下までスクロールして、同じ感染を指すエラーディレクティブがないことを確認します。
サーバー上のすべての .htaccess ファイルも探すことを忘れないでください。 サーバー上に存在するファイルの数を確認する簡単な方法は以下の通りです:
# find -name .htaccess -type f | wc -lそして、これらのファイルが正確にどこにあるのかを知ることができます:
# find -name .htaccess -type f | sortただし、感染は常にそこに限定されるわけではありません。 感染によっては、index.php や header.php などのファイルにエンコードされて埋め込まれたリダイレクトを見つけることもあります。
驚くべきことに、これらの感染はすべての .htaccess ファイルにわたって複製される可能性があります。 また、これを担当するバックドアを使用して、すべてのディレクトリに複数の .htaccess ファイルを作成し、すべて同じ感染で作成することも可能です。 感染を除去することは困難なことのように感じられるかもしれませんし、見つけることができるすべてのファイルをクリーニングするだけでは十分でないこともあります。 Webディレクトリの外にファイルが作成されているケースさえあるのです。 教訓は、常に Web ディレクトリの中だけでなく、外にも目を向けることです。
どうしたら防げるでしょうか
手軽で簡単な方法は、ファイルの所有者を変更するか、ファイルのパーミッションを下げて、所有者だけが修正できる権限を持つようにすることです。 しかし、ルート アカウントが侵害されている場合、それはあまり効果がありません。
注意すべき最も重要なファイルは .htaccess です。
Conclusion
以上、今日、多くの WordPress インストールに大混乱を引き起こす、4 つの一般的な攻撃について説明しました。 ハッキングされた場合、気分は晴れないかもしれませんが、願わくば、このちょっとした知識で、ハッキングを一掃し、ウェブサイトを取り戻せるという自信を持てるようになるといいですね。
Tonyのトップ10セキュリティアドバイス
- 汎用アカウントを取り除き、誰が自分の環境にアクセスしているのか把握すること。 PHP の実行を停止させる。
- バックアップをとっておく。 SFTPとSSHが望ましい。
- スープキッチンサーバーは避ける。
- FTP, wp-admin, SSHを含め、不要な認証情報を削除する。
- 管理者として記事を書く必要はなく、全員が管理者である必要もない。
- 自分が何をしているかわからない場合は、WordPressホスティングプロバイダを活用する。
- IPフィルタリング + 二要素認証 + 強いクレデンシャル = 安全なアクセス
Tony’s Most Useful Security Plugins
- Sucuri Sitecheck Malware Scanner TonyとSucuriスタッフによるこのプラグインは、WordPressダッシュボードでフルマルウェアとブラックリストスキャンを可能にし、強力なウェブアプリケーションファイアウォールを備えています(WAF:Web Application Firewall)。
- Limit Login Attempts 通常のログインと認証クッキーを使用したログインの試行回数を制限することができます。
- Two-Factor Authentication このプラグインは、電話コールバックまたは SMS メッセージなどのサービスを使用して、Duo の 2 要素認証を有効にします。
- Theme-Check あなたのテーマをテストして、それがテーマのレビュー標準の仕様に合っていることを確認します。
セキュリティ ツール
- Sucuri SiteCheck
- Unmask Parasites scanner
Security Resources
- Sucuriのサイトチェックを使用します。 Blog
- Website Security at Perishable Press
- Unmask Parasites Blog
- Badware Busters
- WPsecure
- Locking Down WordPress, Michael Pick
Useful Security Articles
- “10 Useful WordPress Security Tweaks,” Jean-Baptiste Jung
- “10 Steps to Secure Your WordPress Installation,” Fouad Matin
- “Google Blacklist Warnings.Net”
“10 Steps to Secure WordPress Installation,” Fouad Matsuin
(al) .