トップページ > 記事閲覧
s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/19(Sun) 18:58 |
投稿者 | : よしだ |
参照先 | : |
今日の17時ごろs1サーバー内のファイル(ファイル名に"index"が含まれるもの)が別の内容に書き換えられたようです(添付画像参照)。
http://s1.valueserver.jp/も書き換えられているようですので、私のファイルだけでなくサーバー全体に被害が及んでいるのではないでしょうか。
(私のファイルについては何とか復旧しましたが、管理画面のファイルマネージャーなども書き換えられ、使えなくなっています。)
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/19(Sun) 19:22 |
投稿者 | : (´・ω・`) |
参照先 | : |
確認は出来ておりませんが、
こちらでも改ざん確認しましたので、
ファイルマネージャーにアクセスできないことからおそらく
HTMLルートディレクトリ以下すべてのindex.*がクラックされている可能性が高いですね。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/19(Sun) 22:11 |
投稿者 | : ほしけん |
参照先 | : |
私のアカウントも index.* が改ざんされていました。
タイムスタンプは本日 16:41 となっていました。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/19(Sun) 22:42 |
投稿者 | : ほしけん |
参照先 | : |
先ほど修正したはずなのですが、22:26 にまた index.html が
別のファイルに書き換えられました。(一部のディレクトリのみ)
もうどうにでもなれって感じです。
追記
/public_html/ および /public_html/*/ の直下に
index.htm index.html index.php(以上 22:26)
id.htm in.php(以上 22:04)
というファイルが置かれてしまっています。
ページの内容および誰がハッキングしたかの表記は先ほどと異なります。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/19(Sun) 22:50 |
投稿者 | : よしだ |
参照先 | : |
こちらでも二度目の改竄を確認しました。
Re: s1.valueserver.jpへのクラッキングについて
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/19(Sun) 23:46 |
投稿者 | : ねこ |
参照先 | : |
上記の症状が発生していることを他者から指摘がありビックリしています
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/19(Sun) 23:48 |
投稿者 | : ねこ |
参照先 | : |
管理画面にはログインできるのですが…
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/19(Sun) 23:59 |
投稿者 | : Tom |
参照先 | : http://dwm.me/ |
私がs1.valueserver.jpに置いているものも全部やられました。
各ドメインのトップディレクトリに以下の5ファイルが置かれています。
id.htm in.php index.php index.htm index.html
元からあったindex.*は改ざんされています。
WordPressでしたが、上記5ファイルを削除後、wordpress codexからダウンロードしたindex.phpを再設置して元に戻りました。
データベースは改ざんなしの模様です。
他にファイルが変更されているかは未確認です。
取り急ぎ。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 00:07 |
投稿者 | : ねこ |
参照先 | : |
とりあえずすべてのディレクトリのindex.*を再アップロードしました
改ざんされた index.html などのソースを見ると、キーロガー的なスクリプトが埋め込まれていました(汗 このサーバー大丈夫でしょうか?
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 00:20 |
投稿者 | : スラ |
参照先 | : |
ねこさん
>キーロガー的なスクリプトが埋め込まれていました
この件についてもう少し詳しく教えていただけませんでしょうか。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 00:23 |
投稿者 | : ねこ |
参照先 | : |
ソースは保存することもなく表示しただけで消してしまったのですが、<head>〜</head>の中に <script>〜keiinput.js(うろ覚え)</script> のような記載がありました
ちょっと心配です
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 00:26 |
投稿者 | : Tom |
参照先 | : http://dwm.me/ |
追記
wordpressの場合 wp-admin/index.phpも改ざんされていました。
このファイルも修正しないとwordpressの管理画面に入れません。
他にも改ざんファイルがあるかもしれませんが、確認できておりません。情報があれば共有をお願いします。
>このサーバー大丈夫でしょうか?
クラックされた原因がわからないと、またやられるでしょうね。
よしださんや、ほしけんさんも2度書きなおされたとおっしゃっていますし。
全ての修正は管理側の対応を待ってからにしないと無意味かも。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 00:44 |
投稿者 | : ほしけん |
参照先 | : |
ハッキング後のファイルを保存していたので確認したところ、
1回目のハッキングのファイルに確かにスクリプトがあり
<script type="text/javascript" src="http://smilenet4u.googlecode.com/files/TipingText.js"></script>
という記述がありましたが、キーロガーのような悪意のあるコードではないようです。
ざっと見る限り、おそらく文字をタイピング風に1文字ずつ表示させるスクリプトと
見受けられますが、読み込んでるだけで何もしていないので機能していません。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 00:46 |
投稿者 | : Tom |
参照先 | : http://dwm.me/ |
うちに置かれていた改ざんファイルは以下の内容です。
~/index.html ~/index.htm ~/index.php ~/id.htmは内容が同じ
http://dwm.me/download/index.txt
~/inphpの内容
http://dwm.me/download/in.txt
wp-admin/index.phpの内容
http://dwm.me/download/admin_index.txt
参考まで。
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 00:52 |
投稿者 | : ねこ |
参照先 | : |
ほしけん さん、Tom さん、ありがとうございます
サイトの復旧を急いでいたので、バッと見てすぐ閉じて保存していませんでしたので、確認して頂き感謝です(スクリプト名、全然違いましたね。スイマセン
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 01:00 |
投稿者 | : ほしけん |
参照先 | : |
はてなブックマーク ( http://b.hatena.ne.jp/entry/kumalog.com/2014/01/19201213.php ) で以下のような指摘がありました。
---------------
s1.valueserver.jpの31337ポート(トロイの木馬に感染したときの
Back Officeポート。通称「エリート」ポート)が空いているね。
---------------
確認したところ現在も開いたままなので、まだ色々まずいかも知れません。
# というか明朝までこのまま放置なんでしょうか? 日曜とはいえ、ちょっと信じられないんですが
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 01:08 |
投稿者 | : ねこ |
参照先 | : |
うわ、ホントだ…
かなりの大事故なのに、放置って…
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 01:11 |
投稿者 | : ねこ |
参照先 | : |
今見たら、障害情報がアップされてますね
http://mainte.value-server.com/eventview.cgi?host=www.s1.valueserver.jp
www.s1.valueserver.jpにおきまして、障害の発生を確認しております。
○確認した症状:
インデックスページの改ざん
○障害発生日時:
2014/01/20 18:00 〜
○現在の復旧への取り組み状況:
カーネル、システムの脆弱性が判明しましたので対策を実施中でございます。
とりあえず何かやってるみたいですが…
Re: s1.valueserver.jpへのクラッキングについて
投稿日 | : 2014/01/20(Mon) 01:15 |
投稿者 | : Tom |
参照先 | : http://dwm.me/ |
これは、困りましたね。
管理者の方へ----いつ読むかわかりませんが
場合によってはサーバー移動も考えないといけませんが、今回被害を受けたのはs1だけなんでしょうか。
また、ポートが開いてるのもs1だけなんでしょうか。