Googleにブラックリストされています - 正義のサイトが先に

Question

私はプライマリドメインといくつかのアドオンドメインをCpanel共有ホスティングに持ち、すべてのアドオンドメインにはサブドメインのような独自のサブドメインがあります。 primary-domain.com。アドオンドメインはすべて実際のサイトとパブリックで、プライマリドメインはホスティングアカウント用です。http://primary-domain.comは実際にはロゴ付きの1ページのみです。

bad-thingは数日前に起こったが、primary-domain.comはChromeとFirefoxによってブロックされていた。

良いことです：すべてのアドオンドメインは今のところうまくいきます。グーグルのwebmastertoolsの下

、警告が以下のように出てきた：

これらのページは、このような不要なソフトウェアをインストールしたり、個人情報を明かすなど、危険な何かをすることにユーザーをだまししようとします。 （有害なコンテンツのための警告）

サンプルURL：

one-of-sub-domain.primary_domain.com/login.php/magmi/web/download_file.php 

私は./login.php/magmi/web/download_file.phpが何をするか見当がつかないとどのように、それは、私がファイル/login.phpを持っているんが、私は全体のサーバーを介してmagmi/web/download_file.phpを見つけることができませんでしたしかし私はそれがインドからの知的財産権から来る私の訪問者のログに現れたのを見ました。それはどこかに隠されていますが、/login.php/の後ろでどのように実行できるのでしょうか？

面白いことに、アドオンドメインは上記のサブドメインと一緒にブラックリストに登録されていませんが、まったく同じディレクトリを使用しています。

私はホスティングに根本をスキャンするように頼んだが、結果はきれいで、ターゲットURLと0マルウェアが見つかりませんでした。ホスティングはMcAfeeで私のprimary_domain.comをチェックしました。私は長い間良いバージョンであるディレクトリ全体を復元し、Googleにレビューを依頼しました。結果はすぐに戻ってきましたが、それでも変わりません。

実際にはサイトではないので、プライマリドメインについては心配しませんが、長すぎると関連するアドオンドメインがブロックされることはありません。

このハッキングについてのご意見はありますか？私はmagmi/web/download_file.phpについていくつかの検索結果を見ましたが、私はそれについての経験はありません。ハッカーがリダイレクションを引き起こすサーバー上のディレクティブを変更した可能性はありますか？すべての助けに感謝します。ありがとう。

Answer 1

私はGoogleを経由して、問題がエコーメントWebアプリケーションでプラグインアップローダを使用して悪用されていることがわかりました。攻撃者は、ファイルをzipに変換してサーバーにインストールするサイトの大量アップロードスクリプトを使用して、本質的にPHPファイルをアップロードすることができます。

https://www.exploit-db.com/exploits/35052/

私は最初のMagentoのサイトをホストしているサイトを探し始めると、問題のdirecroryのためにそれをスキャンします。次に、それを根絶するために適切な手順を実行します。プラグインをWebインターフェイスからアップロードし、sftpを使って手動で必要なプラグインをアップロードできるようにするソフトウェアの機能を無効にします。

次のステップでは、攻撃者がその情報を収集することができた場合に備えて、すべてのパスワードを全員のアカウントのすべてに変更することです。

--------------------------- @リンク悪用し

が見つかりました日付を悪用：2014年10月24日 セキュリティ研究者名：Parvinderバシン 連絡先：parvinder.bhasin@gmail.com さえずり：@parvinderb - 蠍座

現在テストバージョン： Magentoのバージョン：MagentoのCE - 1.8古い MAGMIバージョン：v0.7.17a古い

ダウンロードソフトウェアリンク： Magentoのサーバ：http://www.magentocommerce.com/download MAGMIプラグイン： https://sourceforge.net/projects/magmi/files/magmi-0.7/plugins/packages/

MAGMI（Magentoの質量輸入）は、ファイルインクルージョンの脆弱性 （RFI）アロに苦しん基本的に任意のPHPファイルをアップロードする攻撃者になります（ の健全性チェックなし）。このPHPファイルを使用して、クレジットカード のデータをスキミングしたり、ファイルを書き換えたり、リモートコマンドを実行したり、ファイルを削除したりすることができます。本質的には、 攻撃者は、脆弱なサーバ でリモートコマンドを実行できます。

手順に再現する：

1. ます。http：///magmi/web/magmi.php

2. の下では、新しいプラグインをアップロード： "ファイルを選択" の クリックして Magentoのプラグインはzip形式の基本的にPHPファイルです。だから、PHPシェルを作成し、 ファイルを圧縮してください。 ex：evil.php ex：zipファイル：evil_plugin.zip。ファイル がアップロードされた後、「Plugin packaged installed」と表示されます。 evil.php：

3. 悪意のあるevil.phpファイルが抽出されました。それでは、 を実行するだけで、evil.phpページにアクセスできます。 http：///magmi/plugins/evil.php この時点で、システム全体にアクセスできます。 をマルウェアをダウンロードして、rootkitをインストールし、クレジットカードのデータをスキップしてください.etcなど。