スパムのためにハイジャックされたURL

これをリモートで分析することはほとんど不可能ですが、私の推測は次のとおりです。

1. セキュリティアドバイザリ SA-CORE-2014-005 の公開後、Drupalインストールのパッチ/更新がすぐに行われませんでした。これは「Drupageddon」と呼ばれる非常に重大な脆弱性でした。

2. 攻撃者がこの脆弱性を悪用し、インストールにアクセスしました。

3. 攻撃者はGoogleによってインデックス付けされたさまざまなスパムページを作成しました（これらは空のように見え、直接アクセスすると404を送信しますが、RefererがGoogleから来ていることを示すと外部サイトにリダイレクトされます）。

もちろん、攻撃者はこれらのスパムページを作成するだけでなく、管理者アカウントの作成/変更、ダウンロード用に提供するファイルへのウイルス感染、保護されたコンテンツへのアクセス、すべての登録ユーザーのメールアドレスのダウンロードなどよりもはるかに大きな損害を与えた可能性があります。

Drupageddonからの回復は困難です。攻撃者がデータベースに悪意のあるコードを配置し、Drupalによって実行されると、操作されたファイルを削除してインストールに再び感染する可能性があるためです。可能であれば、おそらく2014年10月15日以前のバックアップを使用する必要があります。

Drupal SA-CORE-2014-005-サーバー/サイトが侵害されたかどうかを確認する方法 にいくつかのヒントがあります。

うん！あなたはハッキングされました。あなたもしばらくハッキングされています。

パニックにならないでください！それは十分に起こり、潜在的な低レベルの違反であり、あまり心配することなく修正できます。

HTTPSとHTTPは別のプロトコルであり、別のサイトではありません。理論的には、これらはHTTPプロトコルポート80またはセキュア/暗号化HTTP（HTTPS）プロトコルポート443として提供される同じサイトである必要があります。

したがって、cic.nyu.edu（IPアドレス：128.122.215.41）が危険にさらされています。すぐにネットワーク管理者に連絡するか、少なくとも経験豊富なヘルプをすぐに入手したい場合。最新のアンチウイルスを実行していること、ClamAV for Linuxを使用していること、ルートキットやその他のオプションを含むハードドライブのセット全体をスキャンしてウイルスがないことを完全に確認する必要があります。次に、特にWebベースのアプリケーションを含むallソフトウェアを更新することにより、エントリのすべての道を閉じたい。次に、さまざまなページの場所と方法を見つけて、それらを削除する必要があります。これの多くは探偵の仕事がかかります。 Webアプリケーションや各アプリケーションのバージョン番号など、サーバーに存在するアプリケーションに関するメモを取り、ここにあるNVDデータベースを使用して脆弱性を検索できます。 http://web.nvd.nist.gov/view/vuln/search？execution = e2s1 これは、ハッカーがシステムに侵入した方法を理解するのに役立ちます。

また、Webベースのアカウントを含むシステムのすべてのユーザーアカウントを確認することも重要です。不明なアカウントを確認し、不明な場合は終了または一時停止します。また、残りのすべてのアカウントのパスワードを、新しくてユニークな強力なパスワードで更新します。

ドメイン名/ IPアドレスが危険にさらされているとしてブラックリストに登録されている可能性があることを知っておくことが重要です。そうでなければ、あなたは幸運です。ここでステータスを確認できます。 http://mxtoolbox.com/blacklists.aspx 確認するには、ドメイン名とIPアドレスの両方を入力する必要があります。削除の指示に従ってください。それが何であるかを知るために、ブラックリストのサイトに行く必要があるかもしれません。そうでない場合、システム管理者はこれを理解します。

将来的に、HTTPSを使用していない場合は、Apache2.confまたは.htaccessファイルを使用して、すべてのHTTPS要求をHTTP（Apacheを想定）にリダイレクトします。ファイアウォールでIP /ポート128.122.215.41:443を閉じると役立つ場合があります。ネットワーク管理者はあなたが尋ねたとき興奮していて、遵守する前に床から拾い上げる必要があるかもしれません。においがする塩があることを確認してください。