ハッキングされたサイトの回復
初期ステップ
- ホスティングプロバイダがある場合は連絡してください。
- すべてを修正したことがわかるまで、ただちにサイトをメンテナンスモードにするか、完全にオフラインにします。あなたは攻撃者があなたのサーバーに持っている接続を遮断する必要があります。
- あなたはすべてのIPアドレスからサーバーへの接続をブロックしてからあなたのIPアドレスだけを許可するというファイアウォールルールを作ることができます。あなたのIPアドレスは時々変わるかもしれないし、あなた自身を締め出すことができるのでこれをするとき注意してください。その場合は、代わりにあなたのIPアドレスが入っている範囲を許可してください。
- あなたのサイトが自己ホスト型であるか、あなたがサーバーへの物理的なアクセスを持っているなら、もっと簡単な方法は小さなルーターを手に入れてそこにサーバーを差し込むことです。他のネットワークやインターネットには接続しないでください。これで、直接アクセスすることも、同じルーター上の別のコンピュータを介して自由にアクセスすることもできます。
- 利用可能な古いデータベースとファイルのバックアップをすべて見つける
- phpファイル、データベース、データファイルのバックアップ(古いバックアップを上書きしないでください)
- 同じサーバーにインストールされているすべてのPHPソフトウェアとプログラム/パッケージのリストを作成します。
- Moodleのメインバージョンと最終更新日を書き留めて、すべてのcontribモジュールとカスタム修正のリストを作成してください。
- ユーザーの個人データが漏洩する可能性があるという法的影響を確認してください。あなたはおそらくあなたのユーザに通知し、少なくとも彼らのMoodleアカウントと同じパスワードを共有しているサービスのあるアカウントのパスワードを変更するように彼らに言うことを法律で義務付けられています。
- 最後に、コマンドラインやコンピュータ/サーバー全般に不慣れな場合は、慣れ親しんだ人に連絡してもらうのが最善です。あなたはあなたが保存するあなたのユーザーの情報に対して責任があるので、あなたは回復が正しく行われていることを確認したいと思います。
ハッカーが侵入することができた範囲を知ることができるまで、システム上のすべてのものは信頼できないと見なされる必要があります(彼はルートサーバーのアクセス許可を持つか、特定のファイルを変更するためだけにアクセスできますか?)バックアップをリストアする前、またはウイルス対策ソフトウェアを実行する前に、参加して何をしましたか。ご存じのとおり、バックアップは、攻撃者が後で戻ることを可能にするバックドアプログラムを含むように変更されている可能性があります。もう二度と起こらないように、攻撃者が使用した脆弱性を排除したいのです。
損傷評価
- 正確にサイトがハッキングされたのはいつかを調べます。
- ファイルの修正日を確認してください。あなたは最初の侵入の頃に修正されたアプリケーションファイルを探しています。これらのファイルは疑わしいです。
- 奇妙なページパラメータ、失敗したログイン試行、コマンド履歴(特にrootとして)、未知のユーザーアカウントなど、その日または数時間前の疑わしい活動がないかサーバーのログを確認してください。
- あなたがダウンロードした更新を考慮に入れることを忘れないでください、それは修正されたシステムファイルやMoodleのための時間を変えるでしょう。
- あなたのウェブサーバー上で修正またはアップロードされたファイルを探してください - Moodleに属していない最も古いファイルを探してください。
回復
- 事件の直前に最後のバックアップをリストアします。
- 最新の安定版をダウンロードしてあなたのサイトをアップグレードしてください。
- パスワードを変更してください。
- 攻撃の程度によっては、オペレーティングシステムの完全な形式と再インストールが適切な場合があります。
- 調査中に発見した修正を必ず実装し、サーバー上の既存のセキュリティを再確認して、それを改善できないかどうかを確認してください。
- これはまた、あなたがあなたがMoodleのために行ったカスタマイズ/アドオンを見直すべきであることを意味します。すべてのユーザー入力を正しくエスケープしましたか? Webサーバーのディレクトリとデータベースに対する権限はどうですか。
スパムに対処する
- プロフィールやフォーラムの投稿にスパムがあっても、あなたのサイトが実際にハッキングされたわけではありません。
- スパムを見つけるには、 スパムクリーナーツール( 設定>サイト管理>レポート>スパムクリーナー )を定期的に使用してください。
防止
- 常にあなたのサイトを最新の状態に保ち、 最新の安定版を使用してください。 Gitはこれを行う簡単な方法です。
- セキュリティ概要レポートを定期的に実行します ( [設定]> [サイト管理]> [レポート]> [セキュリティ概要] )。
- セキュリティを最大化するために、アクセス権とファイルの所有権を適切に設定する方法を理解してください。これが謎であるならば、あなたはそれを無視してはいけません - それについて読むか、フォーラムで尋ねてください!
- サーバーに適切に設定されたファイアウォール/パケットフィルタがあることを確認してください。
- あなたのサーバ上のMoodleや他のウェブアプリケーションをカスタマイズする際には、必ずコードを見直し、それによって新しい脆弱性が追加されないことを確認してください。
- また、rkhunterなどのルートキット対策プログラムを実行して、サーバー上でルートキットやその他の奇妙なことが起こっているかどうかを確認することもできます。 RootkitRevealerは、同等のWindowsプログラムです。
- SELinuxまたはAppArmorは、サーバー自体へのいくつかの形式の攻撃を軽減するのに非常に優れています。 WindowsにもEMETと呼ばれるものがあります。
関連情報
外部リンク
- [1] :rkhunterオフィシャルサイト
- [2] :Windows Sysinternalsサイト。ここでRootkitRevealerが他の便利なプログラムの中にあります。
- [3] :SELinuxWikiペディアの記事。参考文献と関連項目セクションを確認してください。
- [4] :いくつかの非常に重要なセキュリティ概念を詳述したMicrosoft Technetに関する素晴らしい記事。どのOSを使用していても、優れた情報が得られます。
- [5] :上記のMicrosoft Technetの記事の第2部です。
- [6] :ServerFaultからのスレッドで、侵入からの回復に関するより良い情報を持っています。 Robert Moirのコメントはたくさんの良い情報を提供します。
- [7] :サーバが危険にさらされた後にとるべきステップを詳しく述べたcert.orgに関する記事。それは2000年に書かれたので、プログラム固有の情報は古くなっているかもしれません。
Moodleフォーラムディスカッションを使用する:
