今日の17時ごろs1サーバー内のファイル(ファイル名に"index"が含まれるもの)が別の内容に書き換えられたようです（添付画像参照）。

http://s1.valueserver.jp/も書き換えられているようですので、私のファイルだけでなくサーバー全体に被害が及んでいるのではないでしょうか。

(私のファイルについては何とか復旧しましたが、管理画面のファイルマネージャーなども書き換えられ、使えなくなっています。)

Tomさま

ちなみに、うちの４つのドメインは全ページ普通に表示されてますよ
（本日1730頃と1810頃、indexを再UPしました）

念のため追記;

今のところ攻撃はWEB改ざんのみなので、Apacheの実行権限ユーザーから他のユーザーやrootに昇格することを断つだけでも、効果はあるように思います。

スタッフ◆OKSXpIjDx1k さん　
Yさま
ほか皆様ごめんなさい！！！！！

自分でwp-config.phpを削除したからだと思います！！！！

wordpressのDBパスワードが書かれているので心配で削除したのでした！！！

本当に申し訳ない！お騒がせしました。

他のサーバとシステムが同様なら、
先に言ったようにwebアプリのSHAハッシュを正常なマシンから取得し、
s1.valueserver.jpのファイルと照合するのもありですね。
システム内部が改ざんされているとこれで搾り出せますので（’’

>どこかのWEBアプリの中にバックドアを仕込まれたか、既知のパスワードなどがあるのかもしれません
こちらについてはWEBアプリ側のデバッグログを収集するようにして
解析すれば他プロセスに介入してるかどうか分かったりはしないのでしょうかね。

なお、当方では確認されている3つのクラッキングのうち、1回目と2回目をAvastでTrjとしてブロックしています。
3回目についてはサイトデータをとりあえず全消ししてるので確認できていません。

また、まだどこかでバックドアが空いてるとすると、
契約ユーザだけではなくWEBページ利用者にも被害が及ぶ可能性も0ではないですね。
悪意のあるコードが埋め込まれたりしたら大変ですね。

まあいろいろと対策されているようですのでそこまでの事はないと思いますが。

当方も最初の入り口は流出したパスワードが原因ではないかと思います。

スタッフ◆OKSXpIjDx1k さん　
Yさま
ほか皆様

先程は大変失礼いたしました。
wp-config.phpを戻したら復旧いたしました。

しかし、 (´・ω・`)さんがおっしゃるように
WEBページ利用者にも被害が及ぶ可能性も0ではない
としたら、戻さずに404にしておいた方がいいのかな？
と悩み中。

今回の原因とは関係ないかもしれませんが、
/tmp/ を noexec でマウントされることを希望します。

それによって多くの攻撃から守られるでしょう。

ご利用の皆様

再度ご迷惑をお掛けし本当に申し訳ございません。

ご丁寧なご連絡がありがとうございます。

初回対策時での見落しで、
あるユーザー様内に管理者に昇格する不正なプログラムが残っておりました。
システム領域はチェックをかけておりましたが、ユーザー様領域を個別チェックをしている最中に、悪用された状況となっております。

原因を特定し、対策を実施いたしました。

CIT様

ご提案誠にありがとうございます。

お客様への不利益ない制限は追加で実施する予定です。

やはりどこかのユーザーの所にrootに昇格できるコードが仕込まれていたんですね。お疲れ様でした。

今後の教訓として、rootには特定の管理ユーザー以外昇格できないように設定を行われた方が良いと思います。

スタッフさま

失礼ながら書いてある文章がよく読み取れないのですが

初回対策時での見落しがあったけど、
今はその原因を特定できたと思うし、その原因が間違っていなければ対処は終了した
という意味でよろしいですか？

追記：
文章を吟味して書いているうちに、さいとうさんに書かれていた。
スタッフ様、ありがとうございます。おつかれさまでした。

眠い。昨日寝なかったし。といいわけしつつ、今日は私、疲れているのか、無駄な書き込みも多かったこと皆様にお詫びいたします。

本当にこれで終わりなことを祈りつつ。お疲れ様でした。

さいとう様
Tom様

貴重なご意見、誠にありがとうございます。

昨日はシステムの脆弱性を突いたもので、設定関係なく昇格出来てしまう状態を弊社でも確認しておりました。

ご指摘の部分について、まさにその通りでございまして、元々特定のユーザーしか昇格できないのですが、
初回時に、特定の管理ユーザー以外昇格できないようにする設定ファイルに、とあるユーザー様が追加され、そのユーザー様領域内での不正なプログラムがおかれておりました。

対策漏れでございました。
誠に申し訳ございませんでした。

Tom様

ご迷惑をお掛けしております。
無駄なお時間を取らせてしまい、本当に申し訳ございません。

ご親切にご連絡いただきましたサポートフォームからのご連絡についても、回答が遅れており、申し訳ございません。
順次対応中でございます。

Tom様はじめ、
復旧対策等を提供いただいている皆様、この場を借りてお詫びと感謝を申し上げます。

スタッフさま

こちらこそありがとうございます。
失礼な言い回しもありましたことお詫びいたします。

さいとうさまへの書き方から見て、今回の原因を明確に特定できているようなので安心しました。
お疲れ様です。

対応されたスタッフの皆様、お疲れ様でした。
今後はこのような事態にならなよう、セキュリティ対策が強化されることを祈ります…。

ほしけん様

XREAの応援サイト時代から、長らくご利用いただいていること、スタッフ一同把握しております。
いつも貴重なご意見を感謝しております。
ご迷惑をお掛けしている事が多々あります。
誠に申し訳ございませんでした。

s1.valueserver.jpが不具合ということで問い合わせしようとしたら3件以上問い合わせできないということで他に問い合わせする方法がなかったのでこちらに書き込みさせていただきます。

s1.valueserver.jpはトップページを自分で再アップロードしないといけないんですよね。

s1.valueserver.jpで100個以上サイトを作っているので一つ一つアップロードしないといけないとなるととても大変なのですが、他に方法はないのでしょうか。

あとindex.php(wordpressではない)を利用したサイトも複数削除されているのですが、私のもとにはそのデータ(index.phpを書き換えたデータ)がもうないので元通りにできないのですが、方法はありますでしょうか。

> よし さん

私も苦労しています

私の場合、index.___ファイルだけでなく
SerachIndexes
IndexAction.class.php
IndexRedirector.class.php
xxx_index.html
などなど
ファイル名に「index」が含まれるファイルが全部、
１ドメインあたり約500個が削除されているので
途方もない作業です

サポートに、「間近のバックアップがありませんか？戻せませんか？」と問い合わせましたら、あっさりバックアップはないと言われました

ほんと、いやになります

よし様

3件以上問い合わせできないということ件、申し訳ございません。
調整いたしましたので、アカウント名等がわかる形でご連絡頂戴できますでしょうか。

詳細を確認させていただきます。ご迷惑をお掛けし申し訳ございません。

Y様

直近のデータについては個別確認でお渡し出来る可能性もありますので、
再度サポート側で確認作業をさせていただきます。
誠に申し訳ございません。

今回のクラックの件によって、
phpMyAdminに接続できなくなりました（404エラー）。

これはいつ復旧するのでしょうか？

Mick様

ご迷惑をおかけしております。

お手数ではございますが、「■PhpMyAdmin自動インストール(MySQL管理)」の「インストール」ボタンをクリックし、PhpMyAdminを再インストールの上、お試しいただけますでしょうか。

それでも改善しない場合は、個別に調査させていただきますので、VALUE-DOMAIN にログインの上、サポートよりお問い合わせいただければ幸いです。

http://www.value-domain.com/support.php