【暫定】バリューサーバーs1.valueserver.jpへの改ざんを復旧する方法 【2014/01/19,2014/1/20発生】

Hacked by Jacko Nexus

バリューサーバー のスタンダードの「s1.valueserver.jp」だけのようですけど、
管理ツールの一部(ファイルマネージャー、PhpMyAdmin)とかもやられてました・・・。
PhpMyAdminのほうは、インストールボタンで再インストールしてもindex.phpが改ざんされたままみたいです・・(^^;;;;;

原因らしきもの
「index.*」ファイルがすべて書き換えられているみたいです。index.txtというのも書き換えられていました。

タイムスタンプは、2014/01/19 16:40あたり

メンテナンス中画面にさしかえる
WordPressで「503 メンテナンス中」と表示しながら、裏で作業をし続ける方法

WPでなくても同じ方法でOKなはず。

とりあえずの復旧
・書き換えられたファイル「index.*」をもとに戻す
・「index.*」を読込属性だけにする 
 ※再度、変更されない対策だけど、どこまで有効なのかは不明

追記:2014/01/19 23:00
読み込み属性のみにしても、書き換えられてしまいました・・・(^^;



FTPなどで、ファイルの属性の変更で書き込み属性を外す
このままだと、自動更新に問題があると思うので、原因と対策方法が告知されたら元に戻すか、告知通りに変更する必要はあると思う。

WordPressの場合
/
/wp-admin
/wp-admin/network
/wp-admin/user

/wp-content
/wp-content/plugins
/wp-content/themes

上記にindex.phpがあるので、それをもとに戻してみてください。

あと各テーマファイルの中の「index.php」なども忘れずに修正してください。
各プラグインの中にもindex.phpがあるようです。
キャッシュプラグイン関係を使用している人は、キャッシュクリアなども忘れずに・・・。

理想は、構築しなおしですが、とりあえず、表示だけ元に戻して、対策は後にしたい場合はということです。
まあ、構築しなおしても、原因が不明なので、また改ざんされかねないですけどね。

WordPress › 日本語

その他

s1.valueserver.jpがクラッキングされファイルが改竄された件について | KUMALOG
s1.valueserver.jpへのクラッキングについて-ユーザーフォーラム
2chスレ 【GMO/デジロック】xrea/core/valu Part2

暫定対策後・・・の話

hacked by Gantengers Crew

また、改ざんされました。
・「index.*」ファイルがすべて書き換えられているみたいです。
・index.html,index.htmファイルが置かれる
・id.htm,in.php ファイルが置かれる

タイムスタンプは、2014/01/19 22:26あたり

こんな感じ・・・。
たぶん、トップ/ だけだと思うのですが・・・・。

定期的に、index.phpを書き戻すぐらいしか、対策できなさそう

あと、サーバーをs1.valueserver.jpから、s2以降に移動させるとか・・・。
以前s1が障害が起きたときに、手動でなら移動できて、有料のアカウントを移す?ことができるみたいでしたが、記事にしておけばよかったかなと思った。

cronで定期的に書き戻そうとしたら、1時間に1回の呼び出しにしてくださいねという文言がcronの設定画面に書いてました。

その後・・・・

[2014/01/20 12:00] 引き続き、ご迷惑をお掛けし申し訳ございません。

改ざんファイルの退避が完了いたしましたので、ご報告いたします。
「index」で始まるファイルにつきましては、改ざんされておりましたので、個別確認を行っております。

お手数ではございますが、インデックスページについてお客様にてご確認、アップロードいただきますようお願いいたします。
なお、データベース、データベースのデータには影響はございませんでした。
障害情報


改ざんされたファイルはきれいに?削除はされていました。
使用していないテーマファイルのindex.phpはそのままに放置しておいたのですが、削除されていました。

2014/1/20の話

追記:2014/01/20 20:00
ファイル削除だけなので時間が推定できないのですが、17:00以降のログがあまりないみたいなので、このぐらいの時間に改ざんされた感じはします。

再度、改ざんされたようです。
今度は、トップ/index.php だと思います。
このファイルがない状態だと、Wordpressは、「403 Forbidden」となるようです。

ファイルは削除されていたのですが、改ざんされたのをvalueserver側が削除したのかもと思います。

index.phpを書き戻すcronが動作して居なかった(設定ミス?)ようで、暫定対策できてませんでした(^^;
他のcron jobは動作していたので、設定ミスだとは思います。

index.pnpを書き戻すだけで、仮復旧はしました。

本当の原因らしきもの

Re: s1.valueserver.jpへのクラッキングについて
投稿日 : 2014/01/20(Mon) 20:42
投稿者 : スタッフ◆OKSXpIjDx1k

昨日はシステムの脆弱性を突いたもので、設定関係なく昇格出来てしまう状態を弊社でも確認しておりました。

ご指摘の部分について、まさにその通りでございまして、元々特定のユーザーしか昇格できないのですが、
初回時に、特定の管理ユーザー以外昇格できないようにする設定ファイルに、とあるユーザー様が追加され、そのユーザー様領域内での不正なプログラムがおかれておりました。
s1.valueserver.jpへのクラッキングについて-ユーザーフォーラム


【参考】
VALUE SERVER クラッキング、改ざん被害 (s1.valueserver.jpの件) 対応後も再び改ざん!-ばびぶべぼBlog

原因
・あるユーザーにて、WordPressの脆弱性をつき、不正なプログラムが設置された
・そのプログラムからシステムの脆弱性つかれ、インデックスページを書き換えるプログラムを実行された
・インデックスページを設置されているサイトにおいて、id.htm、in.php、index.php、index.htm、index.html の内容が変わり、動作しなくなった

影響範囲
・130名弱のお客様で書き換えによりサイトの閲覧に影響が出た
障害情報


残念ながら、私の頭では理解できません。
特定のユーザーがroot権限(管理者)になれる(昇格)という感じなんですが・・・。

まあ、VALUE-SERVER (スタンダード) 1サーバーあたり130名程度収納されているという事実を知れたことは有益だったかも(^^;;

etc

■一部の人だけ?
1回目と2回目の改ざんを見る限りでは、1回目のindex.phpの改ざんをもとに戻した人だけたぶん2度目の改ざんにあってそうな気がします。

■avast!はブロックした
画面キャプチャーは取得してますが、実は1回目も2回目もavast!によってブロックされて表示できませんでした。

【ブログ内で関連ある記事】

スポンサーリンク

『【暫定】バリューサーバーs1.valueserver.jpへの改ざんを復旧する方法 【2014/01/19,2014/1/20発生】』へのコメント

  1. […] KUMALOG: s1.valueserver.jpがクラッキングされファイルが改竄された件について(二度目の改竄あり) Big Bang: クラッキング(ハッキング)被害を受けたサイト管理者がとるべき2つの重要な対策某氏の猫空: 【暫定】バリューサーバーs1.valueserver.jpへの改ざんを復旧する方法 【2014/01… […]

コメントを残す

メールアドレスは公開されません。
また、コメント欄には、必ず日本語を含めてください(スパム対策)。