ハッキングされたサイトの回復
提供:MoodleDocs
最初のステップ
- ホスティングプロバイダがある場合は、ホスティングプロバイダに連絡してください。
- すべてを修正したことがわかるまで、すぐにサイトを メンテナンスモード または完全にオフラインにすることをお勧めします。攻撃者がサーバに接続している接続を切断する必要があります。
- ファイアウォールルールを作成して、すべてのIPアドレスからサーバへの接続をブロックしてから、自分のIPアドレスのみを許可することができます。 IPアドレスは時々変更される可能性があり、自分自身をロックアウトする可能性があるため、これを行うときは注意してください。その場合は、代わりにIPアドレスが含まれる範囲を許可してください。
- サイトがセルフホストであるか、サーバに物理的にアクセスできる場合、より簡単な方法は、小さなルータを入手してサーバをそのルータに接続することです。他のネットワークやインターネットに接続しないでください。これで、直接または同じルータ上の別のコンピュータを介して自由にアクセスできます。
- 利用可能なすべての古いデータベースとファイルバックアップを検索します
- PHPファイル、データベース、およびデータファイルをバックアップします(古いバックアップを上書きしないでください)。
- 同じサーバにインストールされているすべてのPHPソフトウェアとプログラム/パッケージのリストを作成します。
- メインのMoodleバージョンと最終更新日をメモし、すべてのcontribモジュールとカスタム変更のリストを作成します
- ユーザの個人データを公開する可能性のある法的影響を確認してください。おそらく法律により、ユーザに通知し、少なくともMoodleアカウントと同じパスワードを共有しているサービスのアカウントのパスワードを変更するようにユーザに指示することが義務付けられています。
- 最後に、コマンドラインやコンピュータ/サーバ全般に慣れていない場合は、慣れ親しんだ人に手伝ってもらうのが最善です。あなたはあなたが保存するあなたのユーザの情報に責任があるので、あなたは回復が正しく行われることを確実にしたいです。
ハッカーがどの程度侵入できたかがわかるまで、システム上のすべてのものが信頼できないと見なされることを忘れないでください(ハッカーはルートサーバのアクセス許可を持っているのか、それとも特定のファイルを変更するためのアクセス権を持っているのか)。バックアップをリストアしたり、ウイルス対策ソフトウェアを実行したりする前に、彼らが何をしたかを理解しました。ご存知のとおり、バックアップは、攻撃者が後で戻ってくることを可能にするバックドアプログラムを含むように変更されている可能性があります。攻撃者が使用した脆弱性を閉じて、二度と起こらないようにします。
損傷評価
- サイトがハッキングされたのはいつかを正確に調べます。
- ファイルの変更日を確認してください。最初の侵入の前後に変更されたアプリケーションファイルを探しています。これらのファイルは疑わしいです。
- サーバログで、その日付または数時間前の疑わしい活動(奇妙なページパラメータ、ログイン試行の失敗、コマンド履歴(特にrootとして)、不明なユーザアカウントなど)を確認します。
- ダウンロードしたアップデートを考慮に入れてください。変更されたシステムファイルやMoodleの時間が変更されます。
- ウェブサーバ上で変更またはアップロードされたファイルを探します - Moodleに属していない最も古いファイルを探します。
回復
- インシデントの直前に最後のバックアップをリストアします。
- 最新の安定バージョンをダウンロードおよび アップグレードサイト。
- パスワードを変更します。
- 攻撃の範囲によっては、オペレーティングシステムの完全なフォーマットと再インストールが必要になる場合があります。
- 調査中に見つかった修正を必ず実装し、サーバ上の既存のセキュリティを再確認して、改善できないかどうかを確認してください。
- これは、Moodle用に行ったカスタマイズ/アドオンを確認する必要があることも意味します。すべてのユーザ入力を適切にエスケープしましたか? Webサーバのディレクトリとデータベースの権限についてはどうですか?
スパムへの対処
- プロファイルまたはフォーラム投稿のスパムは、サイトが実際にハッキングされたことを意味するものではありません。
- スパムクリーナーツール( 設定 > サイト管理 > レポート > スパムクリーナー )を定期的に使用してスパムを見つけてください。
予防
- サイトを常に最新の状態に保ち、最新の安定バージョンを使用してください。 Gitはこれを行う簡単な方法です。
- セキュリティの概要レポートを定期的に実行します( 設定 > サイト管理 > レポート > セキュリティの概要 )。
- セキュリティを最大化するためにパーミッションとファイルの所有権を適切に設定する方法を理解します。これが謎である場合、それを無視してはなりません - それについて読むか、フォーラムで質問してください!
- サーバにファイアウォール/パケットフィルタが適切に構成されていることを確認してください。
- サーバ上のMoodleまたは他のWebアプリケーションをカスタマイズするときは、コードを確認し、新しい脆弱性が追加されていないことを確認してください。
- ルートキットやその他の奇妙な出来事がサーバで発生しているかどうかを確認するのに役立つ、rkhunterなどのルートキット対策プログラムの実行を検討することもできます。 RootkitRevealerは、同等のWindowsプログラムです。
- SELinuxまたはAppArmorは、サーバ自体に対するいくつかの形式の攻撃を軽減するのに非常に優れています。 WindowsにはEMETと呼ばれる同様のものがあります。
関連項目
外部リンク
- [1]: rkhunter公式サイト
- [2]: Windows Sysinternalsサイト。ここには、他の便利なプログラムの中でもRootkitRevealerがあります。
- [3]: SELinux Wikiペディアの記事。参考資料と関連項目のセクションを確認してください。
- [4]: Microsoft Technetに関するすばらしい記事で、非常に重要なセキュリティの概念について詳しく説明しています。使用しているOSに関係なく、よく読んでください。
- [5]: 上記のMicrosoft Technet記事のパート2。
- [6]: 侵入からの回復に関するさらに優れた情報を持っているServerFaultからのスレッド。Robert Moirのコメントは多くの良い情報を提供します。
- [7]: サーバが侵害された後に実行する必要のある手順を詳しく説明したcert.orgの記事。 2000年に作成されたため、プログラム固有の情報は古くなっている可能性があります。
Moodleフォーラムディスカッションの使用: