トップページ > 記事閲覧
s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/19(Sun) 18:58
投稿者 よしだ
参照先
今日の17時ごろs1サーバー内のファイル(ファイル名に"index"が含まれるもの)が別の内容に書き換えられたようです(添付画像参照)。

http://s1.valueserver.jp/も書き換えられているようですので、私のファイルだけでなくサーバー全体に被害が及んでいるのではないでしょうか。

(私のファイルについては何とか復旧しましたが、管理画面のファイルマネージャーなども書き換えられ、使えなくなっています。)

Page: | 1 | 2 | 3 | 4 |

Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:17
投稿者 ねこ
参照先
ポート、まだ開いてますね…

とりあえず塞ぐとかして欲しいものですが
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:17
投稿者 しょうが湯ゴクゴク
参照先
改竄されたサイトの中身の危険性についてのみ補足しておきます。

1回目の改竄(音楽再生の無いページ)はTipingText.jsというスクリプトが組み込まれています。
スクリプト自体はHTMLの改竄を行う処理のみで、特に個人情報や入力情報の読み取り/送信といった危険性のある挙動はしていませんでした。

2回目の改竄(音楽が再生されるページ)にはスクリプトはありませんでした。フラッシュプレイヤーが気になるところではありますが、特殊な隠蔽をされていない限りはmp3ファイルの再生を行っているのみに見えます。

別の改竄を行われる可能性はあるので安全とは言い切れませんが、確認出来た上記2種類については閲覧者への直接的な害はなさそうです。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:22
投稿者 Tom
参照先 http://dwm.me/
>カーネル、システムの脆弱性が判明しましたので対策を実施中でございます。

カーネル?
31337ポートが原因なら違うことをしてますね。
ただ、状況を見ることが出来る管理者の対応が正しいかもしれないので待つしかないかな。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:27
投稿者 Null
参照先
横から失礼いたします。

Tomさんの
>~/inphpの内容
http://dwm.me/download/in.txt
がかなり興味深いですね。

デコードすると分かるのですが、バックドアとして機能するようです。
これは早急に対策しないとマズイです。
いつ悪意のあるページに書き換えられてもおかしくありません。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:32
投稿者 ねこ
参照先
Nullさん

対策はサーバー側という理解でよろしいですか? 閲覧者側に何か害が発生したりすることはありますか?
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:35
投稿者 Tom
参照先 http://dwm.me/
しょうが湯ゴクゴクさん Nullさん ありがとうございます。

>デコードすると分かるのですが、バックドアとして機能するようです。
ということは、(放置状態にあるユーザーがいる可能性も含め)全ユーザーのファイルを修正しないといけない?

管理者の方へ---
この点については、管理サイドの明確な回答をお願いします。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:38
投稿者 ほしけん
参照先
怪しいと思いつつ、見ずにまとめて消して放置してましたが
in.php の中身は確かにかなりまずいですね…
真っ先に消さないといけなさそうです

※追記 ファイルを自由にアップロードしたり、
上位階層にさらにバックドアなどのphpスクリプトを置いたりできるようです
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:38
投稿者 Tom
参照先 http://dwm.me/
>閲覧者側に何か害が発生したりすることはありますか?

現状なかったとしても、"いつ悪意のあるページに書き換えられてもおかしくありません。"という事かと。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:43
投稿者 ねこ
参照先
Tomさま、ありがとうございます

…ということは、ユーザー側としては、自分のエリア内にある改ざんされた index.* ファイル(特に index.php)を削除または上書きしておけば、とりあえずは大丈夫そう… ですね

また書き換えられたらたまらないのですが…(-"-=;
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:52
投稿者 Null
参照先
>ねこさん
かなり危ないものなので削除すべきかとは思いますが、
サーバー側の対策が行われない限り、再度設置されてしまう可能性がありますね。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:52
投稿者 しょうが湯ゴクゴク
参照先
なるほど、in.phpは確認出来ていませんでした。
ルートに置かれたindex.*からはin.phpを読み込むような挙動はしていなかったので、現状では危険性は低いと思われます。

が、TomさんNullさんが言われているとおりハッカー側次第でin.phpを走らせることも可能です。
in.phpファイルを消しておくことはとりあえずやっておいて損はないと思いますが、サーバー管理者側が根本的な対応をしない限りはなんとも…。


ユーザ側には、
ドメインを別サーバに転送するか、
ftpコマンドなどでindex.*ファイルを定期的に上書き更新するプログラムを書くか、
くらいしか逃げ道がないように思います。
後者を行う場合は極端な負荷にならない程度に留める必要がありますが。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:56
投稿者 Tom
参照先 http://dwm.me/
アップロードしたつもりだったのに、リンク切れていました。
>wp-admin/index.phpの内容
http://dwm.me/download/admin_index.txt

自分のミスだとは思いますが、万が一削除されてたとしたら嫌なので書き残しておきます。

再アップしました。
たぶん私の確認ミスでアップされていなかったのだと思いますが、さっきは見られたという方がいらっしゃったらお知らせください。
その場合は再クラックされています。お騒がせしてすみません。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 01:57
投稿者 ほしけん
参照先
s1サーバにあり、ハックされたままのサイトを2〜3ほど確認しましたが
いずれも in.php は白紙ページを返すだけで動作しなくなっています。
すでに何か対策されているかもです。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 02:02
投稿者 Null
参照先
>ほしけん
in.phpなのですが、
"普通は"白紙ページを返すように見えます。
特定のパラメータを渡すと悪いことが出来るようになっています。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 02:05
投稿者 Null
参照先
>ほしけんさん
申し訳ございません。
先ほどの投稿で敬称をつけ忘れてしまいました。
大変失礼致しました。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 03:00
投稿者 Tom
参照先 http://dwm.me/
s1.valueserver.jpが落ちましたね。アクセスできません。
現在 02:59 am
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 03:05
投稿者 Tom
参照先 http://dwm.me/
pingは帰ってくるようになりました。
ftpとsshもアクセスできるようになりました。

けどhttpはアクセス不能。
管理側で対応中のようです。

現在 03:05 am
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 05:27
投稿者 さいとう
参照先 http://www.geek.sc/
こんばんは。
はてなブックマークで31337ポートが空いてるよって書いた者です。
HTTP復旧したようですね。もう31337ポートは空いていません。
おそらくセキュリティパッチを当ててサーバーを再起動したか、
新しい筐体にユーザーのデータを移して起動させたのかと思います。

私はここのサーバーを使っていないので、NULLさんが指摘された
PHPのバックドアのファイルが残っていないか気になるところですが、
これでしばらくは大丈夫かなと思います。

#しかし未だ開ける必要のないポートが沢山開いている…。
iptablesでファイアウォール設定とかやってないのでしょうね…。
OSやミドルウェアの更新とかも定期的にやらずに放置だったのでしょうね…。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 08:08
投稿者 (´・ω・`)
参照先
FTPのファイル自体はいじってないみたいで5時現在では
存在してました。

現在の削除方法は管理者がSHAハッシュを調べて
合致するファイルを削除するコマンドを実行するしかないでしょうね。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 12:28
投稿者 Tom
参照先 http://dwm.me/
さいとうさん (´・ω・`)さん 情報ありがとうございます。

>Tomさんの
>>~/inphpの内容
>>http://dwm.me/download/in.txt
>がかなり興味深いですね。

このファイルですが削除されたみたいです。
消したのはおそらく管理サイドだと思うので再アップはしません。
ソースは公にしないほうがいいとも思うので、見たい方は私に直接おっしゃってください。

Page: | 1 | 2 | 3 | 4 |