Joomla Pharma ハック:原因、検出、修正

Joomla は、PHP と MySQL に基づいた、2 番目に広く使用されているオープンソースのコンテンツ管理システムです。より優れたユーザー管理、非標準コンテンツ表示の柔軟性、組み込みの多言語サポートなどの有利な機能を提供します。しかし、この Web で人気のあるものはすべて、セキュリティリスクを引き付けます。そして、Joomla も例外ではありません。したがって、この記事では、Joomla Web サイトに関連するセキュリティ問題の 1 つである Joomla 医薬品ハッキングについて詳しく説明します。

Web には、このハッキングの方法をほとんど説明していない記事が多数あります。しかし、この記事を読んだ後は、Joomla 製薬ハッキングの包括的な概要を理解できるようになるでしょう。

関連記事 – ハッキングされた Joomla:症状、脆弱性、修正

Joomla Pharma Hack とは?

ファーマハックは、基本的に、医薬品、特に勃起不全関連の治療法を宣伝するために合法的な Web サイトで行われるブラックハット SEO です。ハッキングは、Web サイトの正当な所有者の注意をそらす方法で、Web サイトでこれらのことを宣伝します。最近、多数の Joomla Web サイトがこの攻撃に感染していることが判明しました。ハッキングは Web サイトの訪問者には隠されているように見えますが、検索エンジンの結果ページ (SERP) のキャッシュ結果を汚染します。したがって、ウェブサイトの所有者に報告することは少し問題になり、ウェブサイトのさらなる攻撃的な悪用につながります.

「パラサイトホスティング」のように、これはブラックハット SEO の能力を超えたものであり、単に「違法ハッキング」とも呼ばれています。

Joomla Pharma Hack はどのように機能しますか?

<オール>

Joomla Pharma Hack は、古いアドオンやプラグインを使用している CMS Web サイトのみを対象としています。

ハッカーは、Web シェルをアップロードすることで Joomla Web サイトにアクセスするか、リモートファイルインクルージョンの脆弱性を利用して Web シェルを強制的にロードします。

Joomla のウェブサイトにアクセスすると、ブラックハット SEO 手法を実行し、Joomla の医薬品ハッキングに関連するキーワードを挿入します。

ブラウザは以前と同じようにタイトルを表示するため、ウェブサイトの訪問者は変更に数週間気付かない.または、新しいフォルダーが作成され、ファイルシステム内に入力されます。

Google クローラーが影響を受けたウェブサイトを再クロールすると、そのウェブサイトは新しいキーワードの検索エンジンランキングを獲得します。

ウェブサイトにハイパーリンクが埋め込まれており、ハッキングされたウェブサイトへの悪意のあるリンクも追加されています。これにより、Joomla 製薬ハッキングが深まります。

現在、ユーザーは新しい変更を認識できないため、Web サイトが正常に維持されていることを引き続き確認できます。新しいキーワードを使用したハッキングされた Web サイトの相互リンクと相互プロモーションは、ネットワーク全体を促進します。ハッカーは、すべての悪意のある Web サイトに対して将来の潜在的なトラフィックを構築します。ただし、この新しい相互リンクから直接的な利益を得るには、多くの時間がかかります。

ハッキングされた Web サイトのコードスニペットは次のとおりです。

<script>

// <![CDATA[

function bl(){x = document.referrer;if ( (x.indexOf('viagra')!=-1)||(x.indexOf('VIAGRA')!=-1)||(x.indexOf('buy')!=-1)||(x.indexOf('Viagra')!=-1)||(x.indexOf('Buy')!=-1)||(x.indexOf('viagra')!=-1)) {location.replace("https://www.megarxpills.com/viagra.php?affid=34582011");}}bl();

// ]]>

</script>

このコードは、Web ブラウザーが参照元の Web サイトについて持ってくる詳細を調べます。「バイアグラ」や「購入」などの単語がウェブサイトの訪問者をここに送ったウェブページの URL にある場合、トラフィックは megarxpills.com のバイアグラページに送信され、クレジットは ID 34582011 のアフィリエイトに送られます。

Joomla Pharma ハッキングの意図

この種のハッキングの主な動機は、トラフィックの増加、可視性、およびハッカーへの金銭的利益です。犯罪者は、コンテンツをアップグレードし、その過程で Joomla Web サイトのセキュリティの抜け穴を明らかにしている無知な Web 開発者を探しています。その結果、侵害された正当な Web サイトは、それぞれの分野で名声を失うことに直面し、Web サイトからハッキングを除去するために多額の費用がかかる可能性があります。しかし、Astra のような企業が Joomla Web サイトにセキュリティソリューションを提供しているため、Web サイトのセキュリティに自信を持っているかもしれません。では、Joomla 医薬品ハッキングの兆候を見つけるにはどうすればよいでしょうか?

Joomla Pharma ハックの検出

Joomla の製薬会社のハッキングは検索エンジンの結果を汚染するため、単純な Google 検索で、Joomla の Web サイトが侵害されているかどうかに関係なく、潜在的な情報が明らかになる可能性があります。明らかな兆候は、検索結果のコンテンツのテキストに表示される勃起不全の薬または治療に関する言及です。

検索エンジンボットになりすます

検索エンジンは、Joomla 製薬ハッキングの可能性を予測する結果を表示しているため、Google ボットになりすまして、Joomla Web サイトがどのように見られているかを彼らの目から見てみることができます。ユーザーエージェント文字列を変更できます。これは、ブラウザが自分自身を識別するために、アクセスしている Web サイトに送信するテキストです。 Firefoxブラウザで説明しましょう。 Firefox ブラウザーでは、ユーザーエージェント文字列は次のようになります:

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1

このアドオンを使用する必要があります Firefox のこのユーザーエージェント文字列を変更し、結果を検索エンジンボットとして参照します。これが面倒なオプションだと思われる場合は、Google Webmaster Tools 内の [Fetch as Googlebot] オプションを使用して、Joomla Pharma Hack に関連するキーワードを確認できます。 .

ソースページを表示

どの Web ブラウザでも、検索エンジンの結果ページのソースを右クリックして表示することで、Joomla Web サイトを検索し、Joomla 製薬ハッキングを検出できます。

ソースページ全体がこのようにスパムコンテンツでいっぱいになっている場合は、ソースコードに抜け穴があり、スパムファイルが Joomla Web サイトのどこかに挿入されている可能性があります。 Joomla Pharma Hack が見つかりますページのソースコードに存在するバイアグラ、シアリス、レガリスなどのキーワード。

コマンドを使用して Web サイトサーバーディレクトリのファイルをスキャンする

次のコマンドを実行して、Web サイトのディレクトリで Joomla pharma ハックを確認できます。

不自然に思われる zip、gzip、rar などのファイルを特定します。次のコマンドを使用して同じものを検索できます:

find /home/user_account/public_html/ ( -iname "*.zip" -o -iname "*.gz" -o -iname "*.tar" -o -iname "*.jpa" -o -iname "*.rar" ) -exec ls -hog {} ;

異常がないか、.htaccess ファイルの場所と内容を確認します。 Joomla Web サイト全体で .htaccess ファイルを検索するコマンドは次のとおりです。

find /home/user_account/public_html/ ( -name ".htaccess" ) -type f -print

次のコマンドを使用して、すべての .cgi、.pl、.sh ファイルを見つけます:

find /home/user_account/public_html/ ( -iname "*.cgi" -o -iname "*.pl" -o -iname "*.sh" ) -exec ls -hog {} ;

本来あるべき場所に通常は存在しない可能性のある PHP ファイルをチェックします。
Joomla Pharma Hack をスキャンするために使用できる特定のコマンドファイルは:

find /home/user_account/public_html/ ( -name "*xmloem*.*" -o -name "*pharma*.*" -o -name "mod_joomla" -o -name "com_article" -o -name "LICESNE.php" ) -print

grep コマンドを使用して、ハッカーファイル (base64_decode、eval、preg_replace、a/e 修飾子、gunzip、rot13 など) に関連付けられたファイルパターンを検索します。「base64_decode」を含む行をスキャンするサンプルコマンドは次のとおりです。

find /home/user_account/public_html/ ( -name "*.php" ) -type f -print0 | xargs -0 grep --binary-files=without-match -ir "base64_decodes*("

これらの悪意のあるファイルにアクセスしていたファイルの IP アドレスをネットワークログから見つける
.php への接続の IP アドレスをスキャンします index.php 以外のファイルサイトのルート
過去 2 ～ 3 か月のネットワークログをスキャンして、未知の IP からウェブサーバーへの接続を確認します
200 の「OK」メッセージで POST リクエストをスキャンします。既知のハッカーファイルとの最初の接触によって識別されます。POST は基本的にアップロードです。 POST 要求を行う IP アドレスは、新しくアップロードされたハッカースクリプトに対して単一の要求を行います。その結果、他の Web サイトも同じファイルにアクセスし始めます。その結果、侵害されたファイルの場所を検出し、Web サイトをアップロードして戻す前にファイルを削除できるようになります。

あなたの Joomla ウェブサイトはハッキングされていませんか? ここにメッセージを残すか、今すぐ Astra エージェントとチャットしてください。喜んでお手伝いさせていただきます?

Joomla Pharma ハッキングの除去

Joomla Web サイトのサーバーを変更してハックファイルを削除する前に、情報が失われないように、Web サイトを適切にバックアップすることをお勧めします。 .次に、Web サイトをホストしているコンピューターシステムが、ウイルス、スパイウェア、またはその他のマルウェアなどの望ましくない可能性のあるソフトウェアに感染していないことも確認する必要があります。管理者権限が付与されている PC をスキャンします。

すべてのスキャンを実行した後、FTP アカウント、電子メールアカウント、およびデータベースの資格情報のセキュリティを確認する必要があります。 FTP ユーザーの SSH アクセスをオフにし、特定のホワイトリスト IP アドレスへの SSH アクセスをロックダウンすることをお勧めします。

これを投稿してください。Joomla Web サイトを Web から削除し、Web サイトのディレクトリにある Joomla pharma hack 除去ファイルに対して次のアクションを実行することをお勧めします:

データベーステーブルの消去

スキャンで見つかったスパムのキーワード、コンテンツ、ペイロードをデータベーステーブルから削除します .

コアファイルの消去

コアファイルでフラグが付けられているすべての変更を確認しますスキャン結果で。ファイルを適切なコピーと比較し、必要な変更を加えます。

ユーザーログの監査

不明なユーザー/管理者を削除、もしあれば。攻撃者が複数のプロファイルをユーザーとして作成したか、自分自身を管理者として追加した可能性があります。ユーザーと管理者のログを慎重に監査し、それらを削除してアクセスをブロックしてください。

バックドアを削除

可能性のあるバックドアを排除します。ハッカーは、Web サイトに繰り返しアクセスするためにバックドアを残す傾向があります。バックドアが見つかる一般的な場所には、base64、str_rot13、gzuncompress、gzinflate、eval、exec、create_function、location.href、curl_exec、stream などがあります。

エントリをブロック

さらに、通常、次のようなスクリプトを配置します-

疑わしいユーザーエージェントからの接続をブロックします
ハッカーによるファイルへのアクセスの試みを検出し、それらの訪問者を永久にブロックします
悪意のある IP アドレスをブラックリストに登録する

Joomla Pharma ハッキングの防止:まとめ

World Wide Web で利用できるものは安全ではありません。ハッキングされているか、ハッキングされるのを待っています。 Web サイトの管理者として、Joomla 製薬会社のハッキングを防ぐためにいくつかの適切な措置を講じることができます。それらは:

ハッキングが成功する可能性を最小限に抑えます。この場合は、Joomla 製薬会社のハッキングです。
どこかで倒れたときの回復プロセスを早める

CMS を更新しました

Joomla の Web 管理者ができる最も重要なことは、コンテンツ管理サイトを最新の状態に保つことです。記事や画像は Joomla Web サイトの構築に役立つのではなく、コンテンツ管理 Web サイトであることを覚えておく必要があります。これにより、Joomla Web サイトがハッキングされるのを防ぐことができます。

アドオンに注意してください

これとは別に、アドオンの動作を確認することが重要です。すべてのアドオン、テーマ、テンプレートを最新かつ最も安全なバージョンに更新してください。

抜け穴をなくす

Joomla Web サイトに異常またはバグが存在すると、ハッカーがファイルを植え付けて Joomla pharma hack を実行する可能性があります。訪問者がファイルをアップロードできるようにするアドオンを監視します。正しいタイプのファイルがアップロードされているかどうかを検出するのに十分なほどインテリジェントであることを確認してください。

Astra などの Web アプリケーションファイアウォールユーティリティを使用する

最終的には、Astra のような Web アプリケーションファイアウォールユーティリティに頼ることができ、Joomla Web サイトのセキュリティについて心配する必要はありません。このユーティリティは、複数の種類のマルウェアをリアルタイムでスキャンして削除することで、Web サイトをさまざまな種類のマルウェアから保護します。 Web サイトディレクトリで生成されているスパムファイルを定期的にチェックし、Joomla Web サイトに損害を与えることなくそれらを削除しようとします。

Joomla セキュリティに関するその他の記事については、Astra Security ブログのこのセクションをご覧ください。 . Joomla Web サイトに発生する可能性のあるその他の脆弱性やセキュリティの問題が見つかります。

WordPress の XSS 攻撃とは?それを防ぐ方法は?

Strong Testimonials Plugin =2.40.0 で見つかった保存された XSS 脆弱性 - すぐに更新

PHP リダイレクトハック?これを修正するためにできることは次のとおりです
PHP Web サイトがユーザーを悪意のある Web サイトにリダイレクトしていませんか? PHP リダイレクトハッキングの可能性があります。 PHP リダイレクトハックは、PHP Web サイトで最も実行され、悪用されているハッキングの 1 つです。このハッキングでは、アダルトコンテンツから偽造品の販売者まで、一連の悪意のある Web サイトにユーザーがリダイレクトされます。通常、この悪意のあるコードを挿入するハッカーの意図は、広告収入またはインプレッションを生み出すことです。ただし、これらの悪意のある Web サイトのほとんどは、ユーザーにも害を及ぼす可能性があります。だまされ
PHP Japanese Keyword Hack &Pharma/Viagra Hack
ハッキングされた Web サイトの 51% 以上に SEO スパムが含まれています。明らかに、SEO スパム攻撃は非常に一般的な攻撃形態です。 SEO スパムにはさまざまな種類がありますが、最も蔓延しているものの 1 つに、PHP の日本語キーワードハッキングがあります。あなたのウェブサイトに奇妙な日本語の言葉が広がっているのを見たことはありませんか？はいの場合、あなたのウェブサイトは PHP キーワードハッキングの被害者です。、PHP 日本語キーワードハックとも呼ばれます。 PHP キーワードハック、自動生成された意味不明なテキストが、当社の Web サイト全体のペ