ホーム > フォーラム > 質問箱 > X2.0.16a JP > クラックされました

クラックされました
投稿者: HowardGee | 投稿日時: 2010/6/17 13:24 | 閲覧: 19945回
HowardGee

お恥ずかしい話ですが、クラックされました。参考にもならない話かもしれませんが、一応ご報告させていただきます。

もしチェックするべき点や今後気を付けるところなどアドバイスありましたら、是非お願いいたします。

いくつかあるサイトのうち、まだ2.0.16a JPで運営しているところで、スタートモジュールにしてあるnewsモジュールのindex.phpの中にecho文を仕込まれ、トップページの冒頭にaタグを埋め込まれました。その結果、スタートモジュールのページのどこかをクリックするとsitegrep.netに飛ばされるという状態になりました。

他にも、ウェブのルートディレクトリに、"i ndex.php"という怪しい名前のファイルが作られていて、中身はNobodyCoderの自己PRでした。

ディレクトリやファイルの書き込み権限で危険な状態のファイルはないと思います。Protectorモジュールも入れてあり、ログを見ると、改ざんが行われたと思われる期間にDoSがかけられていました。WWWのログでは、疑わしい時間帯にnewsモジュールのsubmitが呼び出されていましたが、これが改ざんと関係あるのかはわかりません。

対応としては、ルートの怪しいファイル削除、問題のecho文の除去を行いました。何か他にもチェックすべきことはありますか。

コメント(10)

Re: クラックされました 
投稿者: SAK-AXYZ | 投稿日時: 2010/6/17 14:43
SAK-AXYZ
引用:
いくつかあるサイトのうち、まだ2.0.16a JPで運営しているところで、スタートモジュールにしてあるnewsモジュールの
index.phpの中にecho文を仕込まれ、トップページの冒頭にaタグを埋め込まれました。その結果、スタートモジュール
のページのどこかをクリックするとsitegrep.netに飛ばされるという状態になりました。

他にも、ウェブのルートディレクトリに、"i ndex.php"という怪しい名前のファイルが作られていて、中身は
NobodyCoderの自己PRでした。


この状況を見る限り、xoopsサイトがクラックされたのではなく、
FTP接続情報を盗まれたのではないでしょうか(;´Д`)

サーバの中に入れない状態で今回の状況を実現しようとしたら、
modules/news/index.phpを狙い打ちで自動書き換えするスクリプトを作成し、
それをアップローダ系モジュールを通してUPしたうえで呼び出して
発動させる、などのような手順が用いられるのではないかと思われますが
ご発言を拝見する限り、それに相当するような[スクリプトファイル]は特にないようですし。

というわけで、おいらならまずは自分のマシンと、それが所属しているネットワーク内の各マシンについて
ウィルス/ワームのチェックをされるとともに、ネット環境のセキュリティ点検と確認をします。
ついでに、xoops側の管理者権限アカウントについても、パスワード変更しておきたくなるかもです。
Re: クラックされました 
投稿者: homerun | 投稿日時: 2010/6/18 10:31
homerun

ガンブラーですね。indexと名のつくファイル、JSファイルをだいたい3階層めくらいまで追ってきて、改ざんします。

他のCMSでやられちゃった★ことがあるんですが、やっぱりFTPのログを見ると中国からFTPアクセスされてた、なんてことになってました★★。
ログが確認できるなら見てみるとわかると思いますよ。

感染しているパソコンからFTPアクセスするときに情報が漏れます。なのでIDを使っている人、あるいは自身のパソコンを調べて感染していないかとか調べるといいんじゃないでしょうか?

XOOPSを乗り越えてくるのは相当難しいんじゃないでしょうか。Marijanaさんレベルならできるのかもしれませんが、サーバー内のファイルを書き換えるのはFTPあくせすをしないと、難しいとおもうにゃー

    投票(0)

    新しいものから | 古いものから | RSS feed
     
    To Top