У меня есть клиент, который попросил меня попробовать проанализировать сайт на уязвимость.
Что происходит каждые выходные или около того, поле одной записи одной таблицы в базе данных каждый раз изменяется на одно и то же. Из Jewelry
к Jewelery <a href="http://[**REMOVED-FOR-SF**]/viewPress?press_id=407">[**REMOVED-FOR-SF**]</a><a href="http://[**REMOVED-FOR-SF**]/[**REMOVED-FOR-SF**].html">[**REMOVED-FOR-SF**]</a>
. Тот факт, что это всегда одна и та же запись, заставляет меня думать, что это какой-то автоматизированный сценарий, но если это так, я не могу его найти.
Выполнено следующее:
Что дальше?
Злоумышленнику, скорее всего, не нужно знать пароль, чтобы выполнить изменение - вот как я бы с этим справился:
Найдите оболочку функции запроса для своей CMS и обновите ее, чтобы записывать в файл и / или отправлять электронное письмо всякий раз, когда регулярное выражение в строке запроса совпадает со строкой спама - включите любые и все соответствующие переменные сервера и CMS, которые могут помочь идентифицировать источник проблемы.
Обратите внимание, что вы можете позвонить debug_backtrace () на PHP 4.3+, чтобы изолировать включаемые файлы, если это может быть работа вредоносного плагина.
Вероятно, атака оставшейся инъекции - можете ли вы настроить триггер БД, чтобы вы знали, когда запись снова изменится? Затем сопоставил это с журналами вашего веб-сервера - должно немедленно привести к виновнику.
Также убедитесь, что вы регистрируете столько, сколько можете (рефереры и т. Д.)
Вы еще не смотрели SQL-сервер? Возможно, там запущен скрипт или настроена какая-то процедура для обновления, которое было выполнено по законной причине (или даже просто в целях тестирования) и с тех пор было забыто, но все еще запускается. Скорее всего, есть жестко закодированные значения, подобные этой опечатке.
Вы установили генератор ссылок в своей CMS? Некоторые сайты автоматически создают ссылки для создания обратных ссылок на сообщения в блогах. Это похоже на то же самое. Проверьте расширения вашей CMS и посмотрите, есть ли там что-нибудь.
Насколько сильно загружен сайт? Возможно, одним из вариантов может стать захват пакетов, который покажет вам все и вся, что пришло из внешнего мира, когда это изменилось. Это, по крайней мере, даст вам знать, меняет ли что-то внутреннее по отношению к серверу или где находится ваша уязвимость.
Вы можете настроить modsecurity и добавить правило для регистрации данных POST всякий раз, когда он видит версию с ошибкой. Если это кто-то редактирует или вводит SQL, он должен быть зарегистрирован.