ハッキングされた Drupal Web サイトの修正 – Drupal マルウェアの削除

ハッキングされた Drupal Web サイトは、非常に苦痛な場合があります。さて、ハッキングには多くの理由が考えられます。しかし、最も一般的なのは、マルウェア、コード インジェクション、スパムなどです。 Drupal マルウェアの除去技術を探しているなら、ここは適切な場所です。このガイドには、ハッキングされた Web サイトの Drupal ファイルとデータベースをクリーンアップするための段階的な手順が含まれています。マルウェアとバックドアの検出についても言及されています。この記事は、平均的なユーザーが簡単に適用できるように設計されています。

Drupal は、現在使用されている最も人気のある CMS の中で最も古く、最も安全な CMS の 1 つです。 100 万以上の Web サイトに対応しています。しかし、今年、Drupal に複数の脆弱性が発見されました。 Drupalgeddon と呼ばれる一連の RCE 脆弱性と同じように。その結果、数か月の間に Drupal のインストールがハッキングされ、そのほとんどが暗号通貨のマイニングに使用されました。しかし、Drupal のセキュリティ チームは、必要なアップデートをリリースするのに十分迅速でした。

ハッキングされた Drupal:Drupal ハッキングの結果の可能性

• 機密情報を盗むように設計されたフィッシング ページが Web サイトに表示される。
• 悪意のあるリダイレクトについて顧客から苦情が寄せられています。
• ログイン情報、銀行口座情報などの機密情報ダークネットでの販売
• 日本語のキーワード ハックやファーマ ハックなどにより、おかしなコンテンツがサイトに表示される
• 「アカウントが停止されました!」というメッセージがログイン時に表示されます。
• Drupal サイトが検索エンジンのブラックリストに登録される
• Drupal Web サイトが非常に遅くなり、エラー メッセージが表示されます。
• いくつかの悪意のある広告やポップアップがサイトに表示されます。
• 信頼の欠如により、ユーザーはサイトへのアクセスを控えています。
• ユーザー トラフィックと収益の低下
• 新しい無許可の管理者がログイン データベースに表示されます。

ハッキングされた Drupal:Drupal ハックの例

Drupal サイトがハッキングされると、被害を受けたユーザーがコミュニティ フォーラムから支援を受けていることがわかります。ハッキングされた Drupal の例の 1 つを下の画像に示します。

Drupal のハッキングされたサイトが心配ですか?チャット ウィジェットでメッセージを送信してください。解決のお手伝いをさせていただきます。 今すぐ Drupal ウェブサイトを保護 .

Drupal ハッキングの考えられる原因

ハッキングされた Drupal:Drupal SQL インジェクション

Drupal SQLi の脆弱性は、よくコード化されていないモジュールに見られます。ただし、カーネル内 SQLi は非常にまれであり、危険です。このような危険な欠陥は Drupal のコアで発見され、「Drupalgeddon」と呼ばれていましたが、Drupal は AOP (PHP データ オブジェクト) を使用して静的 SQL クエリと動的値を分離していました。

$ query = $ db-> prepare ("SELECT * FROM utilisateurs WHERE utilisateur =: utilisateur ET mot de passe =: mot de passe");

$ account = $ query-> execute (array (':utilisateur' => $ _POST ['utilisateur'], ':mot de passe' => $ _POST ['mot de passe']));

データベースに到達する前に入力が適切にサニタイズされるため、すべて問題ないように見えます。しかし、争点となったのは Drupal のプレースホルダー テーブルでした。これらは、データベース クエリの構造を動的に変更できるため、モジュール開発者に柔軟性を与えることを目的としていました。

db_query ("SELECT * FROM {node} WHERE nid IN (: nids)", tableau (': nids' => tableau (13, 42, 144)));

その後、:nests プレースホルダーは、提供された引数の数と一致します。このように:

SELECT * FROM {node} WHERE nid IN (: nids_0, : nids_1, : nids_2)

この機能を PHP インデックス配列と組み合わせて使用​​すると、GET、POST、Cookie などのパラメーターを渡すことができます。 Drupal プレースホルダー配列は、デフォルトの $_POST['user'] パラメーターが配列であると想定します。その後、未加工の配列文字列インデックスを使用して、新しいプレースホルダー名を生成します。その結果、攻撃者は Parameter:user[0#]、value:foo などの悪意のある値を提供できます。結果のクエリは次のようになります:

選択 * FROM {users} WHERE user=:user_0#

このようにして、攻撃者はログイン認証を回避することに成功します。さらに、攻撃者はパラメーターを user[0; として編集することで、新しいユーザーを作成することもできます。 INSERT INTO users VALUES 'MalUser', 'Passw0rd!', 'Administrators'; #]。これは Drupal のコアに影響を与える非常に重大な欠陥でした。さらに驚くべきことは、これを悪用する Metasploit モジュールもリリースされていることです!

ハッキングされた Drupal:Drupal アクセス バイパス

Drupal のアクセス バイパスにより、ユーザーは意図されていないリソースにアクセスする可能性があります。このタイプの最新の脆弱性は、SA-CONTRIB-2018-081 と呼ばれています。原因は JSON という名前の Drupal モジュールです:API 8.x-1.x モジュール for Drupal 8.x.主な用途:

• Drupal のコンテンツおよび構成エンティティにアクセスする
• Drupal コンテンツおよび構成エンティティの操作

この場合、一部のリクエストに応答する際に、権限を慎重にチェックしません。これにより、権限が不十分な悪意のあるアクターが機密情報を取得する可能性があります。したがって、このタイプの攻撃に使用できるのは GET リクエストのみです。

ハッキングされた Drupal:Drupal クロスサイト スクリプティング

Drupal モジュールでは、XSS や SQLi などの脆弱性が非常に一般的です。このシリーズの最新版は SA-CONTRIB-2018-080 です。 E-Sign モジュールは、XSS に対して脆弱であることが判明しました。 E-Sign モジュールは基本的に、署名パッドを Drupal に統合することを可能にします。この記事を書いている時点で、約 875 のサイトがこのモジュールを使用しています。この脆弱性は、署名が表示されるときに入力のサニタイズが行われていないことに起因します。したがって、攻撃者はコード <script> alert ('XSS Found!') </script> を使用して XSS をテストできます。 .脆弱な署名フィールドは、「XSS Found!」というメッセージを吐き出します。攻撃者はこの脆弱性を利用して、次のことを行うことができます。

• ユーザーの Cookie を盗む
• ユーザーをリダイレクトします。
• Drupal サイトにアクセスしたときにエンドユーザー デバイスにマルウェアをダウンロードする

ハッキングされた Drupal:Drupal のリモート コード実行

Drupal のセキュリティは、一連の Drupalgeddon バグに悩まされてきました。 Drupalgeddon 3 は、今年発見された最新のものです。これにより、認証されていないユーザーが Drupal サイトでコードを実行できるようになります。 Drupalgeddon 2 では RCE も許可されていますが。ただし、これを悪用するには、攻撃者はノードを削除する機能が必要でした。完全な URL は次のようになります:

POST /? Q = node / 99 / delete & destination = node? Q [% 2523] [] = passthru% 26q [% 2523type] = markup% 26q [% 2523markup] = whoami HTTP / 1.1 [...] form_id = node_delete_confirm & _triggering_element_name = form_id & form_token = [CSRF-TOKEN]

ここでは、ノードの削除を装って、攻撃者は whoami コマンドを挿入しました。コードの 2 行目は、CSRF トークンを検証するためのものです。 CSRF トークンは基本的に、リクエストが同じサーバーで生成されたかどうかをチェックします。続いて、以下のコードに示すように、攻撃者は応答から form_build_id を取得します。

PUBLIER / drupal /? q = fichier/ ajax / actions / annuler /%23options/chemin/[FORM_BUILD_ID] HTTP /1.1 [...] form_build_id = [FORM_BUILD_ID]

これにより、最終的にエクスプロイトがトリガーされ、Whoami コマンドの出力が表示されます。したがって、攻撃者はあらゆる種類のコマンドを実行してサーバーを操作できます。この RCE バグをより深刻なものにしているのは、すでにリリースされているエクスプロイトです!

Drupal のハッキングされたサイトをクリーンアップするために専門家の助けが必要ですか?チャット ウィジェットでメッセージを送信してください。喜んでお手伝いいたします。 今すぐ Drupal ウェブサイトを修正 .

ハッキングされた Drupal Web サイトの駆除:Drupal マルウェアを駆除する手順

感染を検出

Google 診断を使用する

Drupal サイトがハッキングされると、Google などの検索エンジンがブラックリストに登録することがよくあります。したがって、Google の診断ツールを使用して、感染の種類と原因を特定できます。そんな時に役立つのがGoogle透明性レポートです。これを確認するには:

<オール>

次のリンクからセーフ ブラウジング サイト ステータスの Web サイトにアクセスしてください。

このページで、[サイトのステータスを確認] オプションを探します。

最後に、サイトの URL を下に入力して [検索] ボタンをクリックします。

これにより、スパムのリダイレクトなどに関する情報が得られます。あなたのサイトが感染した場合。 Drupal 感染の原因を特定し、その除去に取り組む

サイトを分析する

感染したページを検出するには、サイトをスキャンします。 VirusTotal のような多くの無料オプションがあります。または、ファイル全体を .zip ファイルに圧縮し、分析のためにアップロードすることもできます。ただし、無料のセキュリティ ソリューションでは期待どおりの結果が得られない場合があるため、マルウェアの削除について専門家に問い合わせることをお勧めします .

変更されたファイルを確認する

多くの場合、Drupal サイトに感染するバックドアによって、Drupal のコア ファイルが変更される可能性があります。 Drupal サイト ファイルの変更は、次の手順で確認できます。

<オール>

SSH 経由で Drupal サイトに接続します。

次のコマンドを使用して新しいディレクトリを作成します:mkdir drupal-yx 'y' を Drupal、つまり 7、8、9 シリーズに置き換えます。 「x」を Drupal のバージョン (4.7.1、2.1.3 など) に置き換えます。

次のコマンドを使用してこのディレクトリにアクセスします。
cd drupal-yx

次のコマンドを使用して、Drupal バージョンの新しいコピーをダウンロードします。
wget https://github.com/drupal/core/archive/yxtar.gz

次のコマンドを使用して tar.gz ファイルを抽出します。
tar-zxvf core-yxtar.gz

最後に、次のコマンドでコア ファイルの違いを比較します。
diff -r core-yx ./public_html
これは、SSH 経由でサイトにログインし、次のコマンドを実行することでも実行できます。
find ./ -type f -mtime -20

このコマンドは、過去 20 日間に変更されたすべてのファイルを一覧表示します。ファイルの変更日を確認し、疑わしいものがある場合は、そのファイルをスキャンしてマルウェアを探します。

ユーザー ログを確認する

ユーザー ログは、ハッカーによるサイトへの不審なログインを特定するのに役立ちます。これを行います:

<オール>

Drupal サイトの管理ページにログインします。

メニューで、[人] オプションをクリックします

このリストにあるユーザーを確認し、各ユーザーの「最終アクセス時間」も確認します。不審な接続が見つかった場合は、サイトの脆弱性を確認してください。

感染したファイルをクリーンアップし、隠しコードを削除

感染したページが特定されると、感染は部分的 (メイン ファイルのコード) またはファイル全体の可能性があります。ファイルに意味不明な文字が含まれている場合は、ほとんどの場合、攻撃者が人間が判読できない形式でコードを難読化する傾向があることが原因である可能性があります。 Base64 形式は、攻撃者の間で非常に人気があります。このコードを削除するには:

<オール>

SSH 経由でサイトに接続します。

次に、次のコマンドを使用して base64 コードを確認します。
見つけるには 。 -name “*.php” -exec grep “base64” '{}'; -print &> hiddencode.txt.
このコードは base64 でエンコードされたコードを探し、hiddencode.txt に保存します。

hiddencode.txt のテキストをこのリンクなどのオンライン サービスにアップロードして、さらに分析してください。

このサイトの [デコード] オプションをクリックします。これにより、元のコードが表示されます。

FOPO などの他の難読化も、オンライン サービスを使用して解読できます。

感染がメイン パッケージの一部ではないファイル全体にある場合。ファイルを削除します。

コア ファイルの部分的な感染の場合、悪意のあるコードを特定できれば、それを削除します。そうでない場合は、コメントして助けを求めてください

Drupal バックドアを無効にする

Drupal バックドアは、/modules、/themes、/sites/all/modules、/sites/all/themes などのフォルダーに隠されています。コードは難読化されていることが多いため、それらを検出するのは簡単ではありません。このコードを見つけるには、上記の「感染したファイルをクリーンアップして隠しコードを削除する」の手順に従ってください。また、これらのバックドアはいくつかの PHP 関数を使用します。

これらの機能を無効にするには、次の手順を実行します:

<オール>

サイトにログインして、ファイル マネージャーを開きます。

php.ini ファイルを参照して開きます。

このファイルに次のコードを追加します。
disable_functions =“show_source, システム, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen, eval”

Drupal データベースをクリーンアップ

Drupal データベースは、マルウェアの標的になることがよくあります。感染した Drupal サイトのデータベースをクリーンアップするには、次の手順に従います:

<オール>

管理パネルから Drupal サイトに接続します。

[データ アクセス]> [Drupal データベース] に移動

この検索バーで、疑わしいリンクやマルウェア スキャン中に表示されるコンテンツを探します。

このスパム コンテンツとリンクを含む掲示板を開きます。次に、コンテンツを手動で削除します。

完了したら、サイトがまだ機能しているかどうかを確認し、他のすべてのデータベース管理ツールを削除してください。

Drupal セキュリティ:攻撃者をブロック

ログイン認証情報が侵害されていないことを確認してください。マルウェアのクリーンアップが完了したら、Drupal サイトのパスワードをリセットします。パスワードを変更するには、Drupal サイトにログインしてください。

phpMyAdmin の使用

<オール>

phpMyAdmin がインストールされている場合は、[cPanel]> [データベース] ボックス> [phpMyAdmin] に移動します。

次に Drupal データベースを選択し、[SQL] タブをクリックします。

テキスト フィールドに次のコマンドを入力します。
update users set pass=md5('YOURPASS') where uid=1;

「YOURPASS」を設定したいパスワードに置き換えて、最後に「Go!」をクリックしてください。

Drush を使用

<オール>

Drush でサイトを管理するには、Drush モジュールがインストールされていることを確認してください。

Drush を使用するには、SSH 経由でサイトに接続してください。

Drupal-8 ユーザーの場合は、次のコマンドを実行します。
drush user-password UserName –password =“your-new-password”.

Drupal-9 の場合は、次のコマンドを実行します。
ユーザー drush:パスワード ユーザー名「your-new-password」
ここで、「UserName」を Drupal サイトのユーザーに置き換え、「your-new-password」を設定するパスワードに置き換えます。パスワードが安全で、アルファベット、数字、文字の適切な組み合わせが含まれていることを確認してください。

Drupal セキュリティ:ファイルの復元

感染したページをバックアップから復元します。バックアップが利用できない場合は、新しいコピーを使用してください。ファイルがクリーンアップされたら、次の方法でキャッシュをクリアします:

<オール>

SSH 経由で Drupal サイトに接続します。

ターミナルから、次のコマンドを実行します。
drush キャッシュを再構築する (Drupal 8 の場合) または
すべてのキャッシュをクリアします (Drupal 7 の場合)。

Drupal サイトが Google またはホスティング プロバイダーによってブラックリストに登録されている場合は、審査のためにサイトを送信してください。

Drupal による緩和ハッキング

機密フォルダを保護する

機密ファイルへのアクセスをブロックすることが重要です。これは、次の手順に従って実行できます:

<オール>

サイトにログインして、ファイル マネージャーを開きます。

保護したいフォルダーに .htaccess という名前の新しいファイルを作成します。

このファイルに、次のコードを挿入します。
注文拒否、許可
全部断る
22.33.44.55から許可
このスニペットは、これらの特定のフォルダーへの訪問者のアクセスを拒否します。ここでは、コードの最後の行で、許可する IP アドレスを指定しています。また、変更された .htaccess ファイルの内部も調べてください。そのようなファイルが見つかった場合は、最初にクリーンアップすることを優先してください。

更新とバックアップ

Drupal の最新バージョンを使用していることを確認してください。 Drupal セキュリティ チームは、新しい更新ごとに重大な欠陥を更新します。これは、変更ログを使用して確認できます。また、バグのあるコードが含まれている可能性があるため、評判の悪いプラグインの使用は避けてください。必ずサイトのコピーを作成してください。これは、攻撃後にサイトを復元するのに役立ちます。更新とバックアップは、Drupal サイトを保護する最も安価で効果的な方法です。

セキュリティ監査

セキュリティ監査により、Drupal サイト内の重大な欠陥が明らかになる場合があります。すべての Web 管理者がセキュリティの専門家になれるわけではありません。したがって、Astra のようなサービスは、Web 管理者のセキュリティを引き継ぐことができます。 Astra のセキュリティ監査と侵入テストにより、サイト上の深刻な脅威を責任を持って明らかにすることができます。

これにより、Web 管理者は、Drupal サイトがハッキングされるのを防ぐための予防措置を講じることができます。 Astra Security Audit は、安全な環境でリアルタイムの攻撃をシミュレートするため、サイトに損害を与えず、同時に重大な脆弱性を見つけることができます。 Astra のようなセキュリティ監査では、Drupal サイトの OWASP Top 10 などの一般的な脆弱性を見つけることができます。

Drupal マルウェア スキャナとファイアウォール

Drupal では毎月、新しい脆弱性が発見されています。ただし、これは Drupal サイトが安全でないままであることを意味するものではありません。 Drupal サイトが脆弱であっても、ファイアウォールは攻撃者によるこれらの脆弱性の悪用を防ぐことができます。ただし、市場で入手可能な多くのファイアウォールから適切なファイアウォールを選択することが重要です。 Astra Firewall は、すべてのパラメーターで際立っています。非常に堅牢でスケーラブルです。これは、小規模なブログであろうと大規模な e コマース サイトであろうと、Astra がそれらすべてを保護できることを意味します。さらに、Astra は攻撃者をハニーポットし、一般的な攻撃をブロックできます。

Drupal がハッキングされたサイトのクリーンアップと修復は、骨の折れる作業です。ただし、自動化が助けになる可能性があります。 Astra Drupal Malware Scanner は、ハッキングされたサイトから数分でマルウェアを検出できます。また、ファイルの相違点が悪意のある場合は、ボタンを 1 回クリックするだけで削除できます。