WordPress、Joomla、CodeIgniter Web サイトがハッキングされましたか?このionCubeマルウェアが原因の可能性
700 以上の WordPress および Joomla Web サイトが、ionCube でエンコードされた正当なファイルに偽装するionCube マルウェアに感染しています。
IonCube は、PHP エンコーディング、暗号化、難読化、およびライセンス機能を使用してファイルを暗号化および保護するために使用される、古くて強力な PHP エンコーダーです。ライセンス費用のために、通常、ionCube は悪意のある使用の候補にはなりません。
しかし、攻撃者は、ionCube でエンコードされたファイルに似たマルウェアを偽装して、さまざまな Web サイトを侵害する方法を発見しました。影響を受けたサイトの中には、WordPress、Joomla、および CodeIgniter に基づくサイトがありました。このマルウェアにより、ハッカーは脆弱な Web サイトにバックドアを作成できるため、脆弱なサイトのユーザーからデータを盗むことができます。
ionCube マルウェア感染の兆候
研究者は、PHP サーバーで実行されている無害な名前の 7000 以上の偽のionCube ファイルを発見しました。研究者によると、正規のionCubeファイルにはほとんど行がありませんが、偽物にはそうではありませんでした。さらに、すべての正当な Ioncube ファイルは、ioncube.com ドメインを参照しています。偽のファイルではそうではありませんでした
これは、偽のionCubeファイルがどのように見えるかです.
一方、正規のionCubeファイルは次のようになります:
さらに、研究者は、実際のファイルとは異なり、英数字と改行のみで構成される PHP 終了タグの後にコード ブロックを発見しました。研究者によると:
調査の結果、700 の感染サイトが発見され、合計で 7,000 を超える感染ファイルが発見されました。基本的に疑わしい難読化ファイルである「diff98.php」や「wrgcduzk.php」などの PHP ファイルは、正規の ionCube でエンコードされたファイルとほぼ同じように見えました。
デコードすると、偽のionCubeファイルはionCubeマルウェアで構成されています。理論的には、注入された悪意のあるコードは、PHP を実行している Web サーバーに基づくあらゆる Web サイトに感染する可能性があります。
緩和する方法
多数のマルウェアのバリエーションが存在することを考えると、偽のionCubeファイルと正規のionCubeファイルを区別するのは難しい場合があります。さらに、開発者がionCubeでエンコードされたファイルを特別にインストールしていなくても、サーバー上でそのようなファイルを見つけた場合、感染している可能性があります. 1 つのサイトで最大 100 のわずかに異なるマルウェアの亜種を確認するのが一般的です。さらに、異なるバージョンの PHP との相互互換性は最小限であり、マルウェアとして使用される可能性が低くなります。
ionCube マルウェアは軽減できます。研究者は、侵害の兆候として、ionCube でエンコードされたファイルの存在を確認することを管理者に推奨しています。確実に検出された場合、脅威を完全に排除するために、サイト全体のスキャンと Web アプリケーション ファイアウォール (WAF) の採用が必須です。
無料でダウンロード 開発者向けのセキュア コーディング プラクティス チェックリスト。サイトがコーディング セキュリティのすべての側面に準拠していることを確認します。
このようなオンラインの脅威から Web サイトをさらに軽減するには、Astra の Web セキュリティ ファイアウォールをインストールしてください。
-
WordPress ウェブサイトのハッキングとスパム送信:症状、原因、クリーンアップ
WordPress はおそらく、オンライン コンテンツ管理の最も安価で簡単なソリューションです。 WordPress は長い間存在しており、現在 Web の主要なセクションを支えています。ただし、世界で最も一般的に標的にされている CMS の 1 つでもあるため、この人気には大きな代償が伴います。その結果、WordPress がハッキングされて顧客にスパムが送信されたなどの問題について、ユーザーから苦情が寄せられることがよくあります。また、WordPress のスパムに対処することは、長期的にはサイトの評判を損なう可能性があるため、より苛立たしいものになる可能性があります. WordPress
-
この偽の広告ブロッカーに注意してください:ファイルをロックし、PC をハイジャックして暗号通貨をマイニングします
2 月の初めから、Monero Cryptocurrency Miner をユーザーのコンピューターに挿入する複数のアプリケーションが発見されました。カスペルスキーのレポートによると 、これら (Cryptominer + Ransomware コード) は、ユーザーの検索フィードにランダムに表示される悪意のある Web サイトを介して配布されました。ハイブリッド マルウェア (ほとんどがアンチウイルス インストーラーを装ったもの) は、1 日に 2,500 人以上のユーザーを標的とし、今回は 広告ブロッカー を装いました。 および OpenDNS サービス . 「によると 最近の統計