今日の17時ごろs1サーバー内のファイル(ファイル名に"index"が含まれるもの)が別の内容に書き換えられたようです（添付画像参照）。

http://s1.valueserver.jp/も書き換えられているようですので、私のファイルだけでなくサーバー全体に被害が及んでいるのではないでしょうか。

(私のファイルについては何とか復旧しましたが、管理画面のファイルマネージャーなども書き換えられ、使えなくなっています。)

Nullさん
すいません。in.php は一度閉じたローカル環境で動かしてみたのですが、
このとき確認用に eval を echo に変えていたのを思い出しました。
そりゃ白紙にならないはずです。失礼しました。
敬称についてはどうぞお気になさらないでください。

バリューサーバーご利用の皆様

ご迷惑をおかけし、大変申し訳ございません。

現在、復旧にむけて対応いたしておりますことご報告申し上げます。
対応状況につきましては、下記障害情報にて共有いたします。
ご確認いただきましたら幸いに存じます。
http://mainte.value-domain.com/eventview.cgi?host=www.s1.valueserver.jp&no=18

何かございましたら、問い合わせフォームよりご連絡いただきましたら、対応させていただきます。
https://www.value-domain.com/support.php

また、こちらのユーザーフォーラムへいただきました内容につきましても、順次サーバー状況を確認して参ります。

情報提供いただきましたこと感謝申し上げます。

ご利用の皆様には、ご迷惑をお掛けし本当に申し訳ございません。

現時点で、s1.valueserver.jpでは対策を実施済みですが、
s1.valueserver.jp以外につきましても対策を実施する緊急メンテナンスを行っております。

進捗状況は随時報告させていただきます。

お問い合わせフォームで情報をいただいたお客様、再アップロードいただいたお客様、その他、お手数をお掛けしてしまったお客様、貴重なお時間を取らせてしまい、誠に申し訳ございません。

すでに再開されている方が多数おられる状況でございますが、引き続き、弊社側でも個別確認を行ってまいります。

以上、よろしくお願いいたします。

17:18現在、確認したところ再び改ざんが発生している模様です。
「0wned by Gantengers Crew」のページが表示されています。

(魚拓)
http://megalodon.jp/2014-0120-1718-49/s1.valueserver.jp/

まずいですよ...

また乗っ取られましたね。
17:21時間が微妙。

スタッフ◆OKSXpIjDx1kさんほか皆様
帰宅せずに対応してください。真剣に言っています。

最悪ですね、せっかく終わったかと思ったのに。
今度は、
index.php
index.html
index.htm
の３ファイルでしょうか

pingが飛ぶのにsshとftpが接続不能。
これはマジでやばくないですか。

あるいはバリューサーバー側で全ポートを閉じたか？
これではユーザーとしてはファイル修正の対応も出来ない。

追記 17:55
http接続も不能ですね。今。
クラッキング画像が出るよりはましか。

個人的な事情で申し訳ない。
サーバークラッキングの記事書いて、ツイートしてアクセス来てるのに信用落ちたわ、これ。

アクセスが戻った。
トップディレクトリのindex.phpがなくなっていたけど、うちは前回の方法で復旧しました。

うちはトップディレクトリのindex.phpが削除されていた以外は増えたファイルもなく、サブディレクトリ以下のindex.phpも残っていました。
ただし、内容確認せずに上書きしたので、改ざんされていたかは不明です。
急いでいたので、確認せずに申し訳ないです。

ダメだ。トップページのみ復旧。
個別ページはクラックされてる。
http://dwm.me/archives/2419

画像追記しました。

再び。
もう遊ばれてますよ。コレ。

why we hack your server??
[email protected]

一体どの脆弱性を突かれて攻撃されたのか分析できているのでしょうか。
相手クラッカーも馬鹿じゃ無さそうなので、その場しのぎの対策ではダメです。

急いで書いてるんで短文の連続で失礼します。

,htaccessは改ざんなし。
index.phpは上書きしてしまったため不明。

アップし直してもすぐ書き換えられる

困った

原因がわからないので、とりあえずWordPress用データベースのパスワードが書いてあるwp-config.phpを削除した。

真似する方は個人の判断で！！

次はSSHでDBのバックアップをする。

今のところデータベースは無事と思われる。

今日は今のところ17:20頃と18:03頃の2回ですね。
いつになったら完全な対策が終わるのでしょうね？

完全に終息するまで一時的に他社サーバー移転も考えなくては・・

ご迷惑をお掛けし申し訳ございません。

一部のお客様で再発を確認しましたので、原因を調査中です。

スタッフ◆OKSXpIjDx1k さん

今現在、うちのトップページが403
http://dwm.me/

その下の階層が 404 なんですが
http://dwm.me/archives/2419

これはそちらでやっているんでしょうか？
それともやられてしまっているんでしょうか？

非常に心配なことなので、ご回答お願いします。
ちなみにファイルは残っています。


追記
申し訳ありません。自分のミスです。
先程自分で安全のためにwordpressのDBパスワードが書かれている
wp-config.php を削除したのでした。

そのせいだと思います。本当に失礼しました。

> スタッフ◆OKSXpIjDx1k　さま

お世話になります

> 一部のお客様で再発を確認しましたので、

ほんとに一部の人だけなのでしょうか？
私の場合、
public_htmlフォルダと
その直下のフォルダ(logを除く）のすべてに、それぞれ３つのindexファイルがほぼ同時刻に書き込みされているので、決して手作業ではないと思うのですが、だとすると、なぜ一部の人だけ？

改ざんされたファイルを復旧した人だけが狙われてるのでしょうか？

こんにちは。おそらくスタッフさんの方でiptablesかパケットフィルタを設定されたと思いますので、前回のように侵入用のポートが開いていることはないようです。ただ、それでも侵入されて改ざんされているのは、どこかのWEBアプリの中にバックドアを仕込まれたか、既知のパスワードなどがあるのかもしれません（最初の侵入口？）

顧客全員のWEBアプリの脆弱性を調査するのは容易ではないと思います。rootのパスワードは変更されたでしょうか？また一般ユーザーは管理用ユーザーを残してrootに昇格できないようにして、顧客ごとにパーミッションのグループ設定をすれば、今後の改ざんは防げるかもしれません。またOSには最新のパッチを当てましょう。

自分の方で思いつくのは以上ですね。ご参考までに。