web-dev-qa-db-fra.com

URL détournée pour spam

Je suis le Webmaster et l'administrateur d'un site, basé sur Drupal 7. J'ai mis à jour Drupal vers la dernière version. Mon problème est qu'il semble que quelqu'un ou un robot utilise notre URL. Mon site/serveur légitime a-t-il été piraté? En outre, lors de la recherche de site:sitename par le biais de Google, notre site légitime est le premier hit. Cependant, tous ces liens de spam utilisant notre URL suivent les résultats de la recherche.

J'ai posté ce problème dans un autre forum et quelqu'un a mentionné que c'était un problème avec le serveur ayant un certificat SSL auto-signé par défaut. Cela aurait du sens si les liens de spam n'existaient pas et s'ils ne dirigeaient pas de sites d'espionnage de spam. Les clics/impressions apparaissent également en milliers dans notre analyse, nous ne faisons en moyenne que 200 à 300 utilisateurs par jour.

urlsecurityserverdrupalhacking
4
A. Evans

Analyser cela à distance est presque impossible, mais voici ce que je suppose:

  1. Vous n'avez pas corrigé/mis à jour votre installation Drupal rapidement après la publication de l'avis de sécurité SA-CORE-2014-005 . Il s’agissait d’une vulnérabilité très critique, appelée "Drupageddon".

  2. Un attaquant a exploité cette vulnérabilité et a eu accès à votre installation.

  3. L’attaquant a créé diverses pages de spam indexées par Google (celles-ci semblent vides et envoient 404 lorsqu’elles sont visitées directement, mais vous êtes redirigé vers un site externe lorsque votre Referer indique que vous venez de Google).

Bien sûr, un attaquant aurait peut-être causé bien plus de dégâts que la simple création de ces pages de courrier indésirable (création/modification de comptes d’administrateur, infection virale des fichiers que vous proposez de télécharger, accès à un contenu protégé, téléchargement des adresses électroniques de tous les utilisateurs enregistrés, etc.).

Il est difficile de récupérer à partir de Drupageddon, car un attaquant aurait pu placer du code malveillant dans votre base de données, lequel sera exécuté par Drupal même si vous avez supprimé des fichiers manipulés, ce qui a de nouveau infecté votre installation. Si possible, vous devriez probablement utiliser une sauvegarde antérieure au 2014-10-15.

Réponses sur Drupal SA-CORE-2014-005 - Comment savoir si mon serveur/mes sites ont été compromis? ont quelques conseils.

3
unor

Oui! Vous avez été piraté. Vous avez également été piraté pendant un certain temps.

Pas de panique! Cela arrive assez souvent et peut potentiellement être une violation de bas niveau qui peut être corrigée sans trop s'inquiéter.

HTTPS vs. HTTP est un autre protocole et non un autre site. Théoriquement, il devrait s'agir du même site que le port de protocole HTTP 80 ou le port de protocole sécurisé/crypté HTTP (HTTPS) 443.

Votre cic.nyu.edu (adresse IP: 128.122.215.41) a donc été compromis. Vous souhaitez obtenir immédiatement un administrateur réseau ou au moins une aide expérimentée. Vous devez vous assurer que vous utilisez un antivirus à jour, j'utilise ClamAV pour Linux, et que vous analysez l'ensemble des disques durs, y compris le rootkit et d'autres options, pour vous assurer qu'il ne contient pas de virus. Ensuite, vous souhaitez fermer toutes les voies d’entrée en mettant à jour tous les logiciels , notamment les applications Web. . Ensuite, vous devez trouver où et comment vivent les différentes pages et les supprimer. Une grande partie de cela prendra du travail de détective. Vous pouvez prendre des notes sur les applications présentes sur votre serveur, y compris les applications Web et leurs numéros de version, et rechercher des vulnérabilités à l'aide de la base de données NVD disponible à l'adresse suivante: http://web.nvd.nist.gov/view/vuln/search? execution = e2s1 Cela devrait vous aider à comprendre comment les pirates informatiques sont entrés dans votre système.

Il est également important de vérifier tous les comptes utilisateur de votre système, y compris les comptes Web. Recherchez les comptes inconnus et mettez-les fin ou suspendez-les en cas de doute. De même, mettez à jour les mots de passe de tous les comptes restants avec des mots de passe forts, nouveaux et uniques.

Il est important de savoir que votre nom de domaine/adresse IP a probablement été inscrit sur la liste noire comme étant compromis. Sinon, vous avez de la chance. Vous pouvez vérifier le statut ici: http://mxtoolbox.com/blacklists.aspx Vous devrez entrer le nom de domaine et l'adresse IP pour être sûr. Suivez les instructions fournies pour le retrait. Vous devrez peut-être consulter le site de la liste noire pour savoir ce que c'est. L'administrateur système comprendra cela si vous ne le comprenez pas.

À l'avenir, si vous n'utilisez pas HTTPS, vous souhaitez rediriger toutes les demandes HTTPS vers HTTP (en supposant Apache) à l'aide des fichiers Apache2.conf ou .htaccess. Il peut être utile de fermer IP/port 128.122.215.41:443 au niveau du pare-feu. Tout administrateur réseau doit être ravi de votre demande et peut nécessiter un retrait du sol avant de se conformer. Assurez-vous d'avoir une odeur de sel à portée de main.

1
closetnoc