トップページ > 記事閲覧
s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/19(Sun) 18:58
投稿者 よしだ
参照先
今日の17時ごろs1サーバー内のファイル(ファイル名に"index"が含まれるもの)が別の内容に書き換えられたようです(添付画像参照)。

http://s1.valueserver.jp/も書き換えられているようですので、私のファイルだけでなくサーバー全体に被害が及んでいるのではないでしょうか。

(私のファイルについては何とか復旧しましたが、管理画面のファイルマネージャーなども書き換えられ、使えなくなっています。)

Page: | 1 | 2 | 3 | 4 |

Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 19:24
投稿者 Y
参照先
Tomさま

ちなみに、うちの4つのドメインは全ページ普通に表示されてますよ
(本日1730頃と1810頃、indexを再UPしました)
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 19:25
投稿者 さいとう
参照先 http://www.geek.sc/
念のため追記;

今のところ攻撃はWEB改ざんのみなので、Apacheの実行権限ユーザーから他のユーザーやrootに昇格することを断つだけでも、効果はあるように思います。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 19:28
投稿者 Tom
参照先 http://dwm.me/
スタッフ◆OKSXpIjDx1k さん 
Yさま
ほか皆様ごめんなさい!!!!!

自分でwp-config.phpを削除したからだと思います!!!!

wordpressのDBパスワードが書かれているので心配で削除したのでした!!!

本当に申し訳ない!お騒がせしました。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 19:44
投稿者 (´・ω・`)
参照先
他のサーバとシステムが同様なら、
先に言ったようにwebアプリのSHAハッシュを正常なマシンから取得し、
s1.valueserver.jpのファイルと照合するのもありですね。
システム内部が改ざんされているとこれで搾り出せますので(’’

>どこかのWEBアプリの中にバックドアを仕込まれたか、既知のパスワードなどがあるのかもしれません
こちらについてはWEBアプリ側のデバッグログを収集するようにして
解析すれば他プロセスに介入してるかどうか分かったりはしないのでしょうかね。

なお、当方では確認されている3つのクラッキングのうち、1回目と2回目をAvastでTrjとしてブロックしています。
3回目についてはサイトデータをとりあえず全消ししてるので確認できていません。

また、まだどこかでバックドアが空いてるとすると、
契約ユーザだけではなくWEBページ利用者にも被害が及ぶ可能性も0ではないですね。
悪意のあるコードが埋め込まれたりしたら大変ですね。

まあいろいろと対策されているようですのでそこまでの事はないと思いますが。

当方も最初の入り口は流出したパスワードが原因ではないかと思います。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 19:50
投稿者 Tom
参照先 http://dwm.me/
スタッフ◆OKSXpIjDx1k さん 
Yさま
ほか皆様

先程は大変失礼いたしました。
wp-config.phpを戻したら復旧いたしました。

しかし、 (´・ω・`)さんがおっしゃるように
WEBページ利用者にも被害が及ぶ可能性も0ではない
としたら、戻さずに404にしておいた方がいいのかな?
と悩み中。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 20:08
投稿者 CIT
参照先
今回の原因とは関係ないかもしれませんが、
/tmp/ を noexec でマウントされることを希望します。

それによって多くの攻撃から守られるでしょう。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 20:21
投稿者 スタッフ◆OKSXpIjDx1k
参照先
ご利用の皆様

再度ご迷惑をお掛けし本当に申し訳ございません。

ご丁寧なご連絡がありがとうございます。

初回対策時での見落しで、
あるユーザー様内に管理者に昇格する不正なプログラムが残っておりました。
システム領域はチェックをかけておりましたが、ユーザー様領域を個別チェックをしている最中に、悪用された状況となっております。

原因を特定し、対策を実施いたしました。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 20:24
投稿者 スタッフ◆OKSXpIjDx1k
参照先
CIT様

ご提案誠にありがとうございます。

お客様への不利益ない制限は追加で実施する予定です。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 20:29
投稿者 さいとう
参照先 http://www.geek.sc/
やはりどこかのユーザーの所にrootに昇格できるコードが仕込まれていたんですね。お疲れ様でした。

今後の教訓として、rootには特定の管理ユーザー以外昇格できないように設定を行われた方が良いと思います。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 20:37
投稿者 Tom
参照先 http://dwm.me/
スタッフさま

失礼ながら書いてある文章がよく読み取れないのですが

初回対策時での見落しがあったけど、
今はその原因を特定できたと思うし、その原因が間違っていなければ対処は終了した
という意味でよろしいですか?

追記:
文章を吟味して書いているうちに、さいとうさんに書かれていた。
スタッフ様、ありがとうございます。おつかれさまでした。

眠い。昨日寝なかったし。といいわけしつつ、今日は私、疲れているのか、無駄な書き込みも多かったこと皆様にお詫びいたします。

本当にこれで終わりなことを祈りつつ。お疲れ様でした。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 20:42
投稿者 スタッフ◆OKSXpIjDx1k
参照先
さいとう様
Tom様

貴重なご意見、誠にありがとうございます。

昨日はシステムの脆弱性を突いたもので、設定関係なく昇格出来てしまう状態を弊社でも確認しておりました。

ご指摘の部分について、まさにその通りでございまして、元々特定のユーザーしか昇格できないのですが、
初回時に、特定の管理ユーザー以外昇格できないようにする設定ファイルに、とあるユーザー様が追加され、そのユーザー様領域内での不正なプログラムがおかれておりました。

対策漏れでございました。
誠に申し訳ございませんでした。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 20:48
投稿者 スタッフ◆OKSXpIjDx1k
参照先
Tom様

ご迷惑をお掛けしております。
無駄なお時間を取らせてしまい、本当に申し訳ございません。

ご親切にご連絡いただきましたサポートフォームからのご連絡についても、回答が遅れており、申し訳ございません。
順次対応中でございます。

Tom様はじめ、
復旧対策等を提供いただいている皆様、この場を借りてお詫びと感謝を申し上げます。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 20:53
投稿者 Tom
参照先 http://dwm.me/
スタッフさま

こちらこそありがとうございます。
失礼な言い回しもありましたことお詫びいたします。

さいとうさまへの書き方から見て、今回の原因を明確に特定できているようなので安心しました。
お疲れ様です。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 20:58
投稿者 ほしけん
参照先
対応されたスタッフの皆様、お疲れ様でした。
今後はこのような事態にならなよう、セキュリティ対策が強化されることを祈ります…。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 21:01
投稿者 スタッフ◆OKSXpIjDx1k
参照先
ほしけん様

XREAの応援サイト時代から、長らくご利用いただいていること、スタッフ一同把握しております。
いつも貴重なご意見を感謝しております。
ご迷惑をお掛けしている事が多々あります。
誠に申し訳ございませんでした。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/21(Tue) 12:54
投稿者 よし
参照先
s1.valueserver.jpが不具合ということで問い合わせしようとしたら3件以上問い合わせできないということで他に問い合わせする方法がなかったのでこちらに書き込みさせていただきます。

s1.valueserver.jpはトップページを自分で再アップロードしないといけないんですよね。

s1.valueserver.jpで100個以上サイトを作っているので一つ一つアップロードしないといけないとなるととても大変なのですが、他に方法はないのでしょうか。

あとindex.php(wordpressではない)を利用したサイトも複数削除されているのですが、私のもとにはそのデータ(index.phpを書き換えたデータ)がもうないので元通りにできないのですが、方法はありますでしょうか。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/21(Tue) 15:05
投稿者 Y
参照先
> よし さん

私も苦労しています

私の場合、index.___ファイルだけでなく
SerachIndexes
IndexAction.class.php
IndexRedirector.class.php
xxx_index.html
などなど
ファイル名に「index」が含まれるファイルが全部、
1ドメインあたり約500個が削除されているので
途方もない作業です

サポートに、「間近のバックアップがありませんか?戻せませんか?」と問い合わせましたら、あっさりバックアップはないと言われました

ほんと、いやになります
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/21(Tue) 16:20
投稿者 スタッフ◆OKSXpIjDx1k
参照先
よし様

3件以上問い合わせできないということ件、申し訳ございません。
調整いたしましたので、アカウント名等がわかる形でご連絡頂戴できますでしょうか。

詳細を確認させていただきます。ご迷惑をお掛けし申し訳ございません。

Y様

直近のデータについては個別確認でお渡し出来る可能性もありますので、
再度サポート側で確認作業をさせていただきます。
誠に申し訳ございません。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/21(Tue) 17:17
投稿者 Mick
参照先
今回のクラックの件によって、
phpMyAdminに接続できなくなりました(404エラー)。

これはいつ復旧するのでしょうか?
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/21(Tue) 19:10
投稿者 スタッフ◆4HYjmnUbRyo
参照先
Mick様

ご迷惑をおかけしております。

お手数ではございますが、「■PhpMyAdmin自動インストール(MySQL管理)」の「インストール」ボタンをクリックし、PhpMyAdminを再インストールの上、お試しいただけますでしょうか。

それでも改善しない場合は、個別に調査させていただきますので、VALUE-DOMAIN にログインの上、サポートよりお問い合わせいただければ幸いです。

http://www.value-domain.com/support.php

Page: | 1 | 2 | 3 | 4 |