クラックされました
投稿者: HowardGee | 投稿日時: 2010/6/17 13:24 | 閲覧: 19314回
お恥ずかしい話ですが、クラックされました。参考にもならない話かもしれませんが、一応ご報告させていただきます。
もしチェックするべき点や今後気を付けるところなどアドバイスありましたら、是非お願いいたします。
いくつかあるサイトのうち、まだ2.0.16a JPで運営しているところで、スタートモジュールにしてあるnewsモジュールのindex.phpの中にecho文を仕込まれ、トップページの冒頭にaタグを埋め込まれました。その結果、スタートモジュールのページのどこかをクリックするとsitegrep.netに飛ばされるという状態になりました。
他にも、ウェブのルートディレクトリに、"i ndex.php"という怪しい名前のファイルが作られていて、中身はNobodyCoderの自己PRでした。
ディレクトリやファイルの書き込み権限で危険な状態のファイルはないと思います。Protectorモジュールも入れてあり、ログを見ると、改ざんが行われたと思われる期間にDoSがかけられていました。WWWのログでは、疑わしい時間帯にnewsモジュールのsubmitが呼び出されていましたが、これが改ざんと関係あるのかはわかりません。
対応としては、ルートの怪しいファイル削除、問題のecho文の除去を行いました。何か他にもチェックすべきことはありますか。
コメント(10)
新しいものから |
古いものから |
ネスト表示 |
Re: クラックされました
投稿者: SAK-AXYZ | 投稿日時: 2010/6/17 14:43
引用:
この状況を見る限り、xoopsサイトがクラックされたのではなく、
FTP接続情報を盗まれたのではないでしょうか(;´Д`)
サーバの中に入れない状態で今回の状況を実現しようとしたら、
modules/news/index.phpを狙い打ちで自動書き換えするスクリプトを作成し、
それをアップローダ系モジュールを通してUPしたうえで呼び出して
発動させる、などのような手順が用いられるのではないかと思われますが
ご発言を拝見する限り、それに相当するような[スクリプトファイル]は特にないようですし。
というわけで、おいらならまずは自分のマシンと、それが所属しているネットワーク内の各マシンについて
ウィルス/ワームのチェックをされるとともに、ネット環境のセキュリティ点検と確認をします。
ついでに、xoops側の管理者権限アカウントについても、パスワード変更しておきたくなるかもです。
いくつかあるサイトのうち、まだ2.0.16a JPで運営しているところで、スタートモジュールにしてあるnewsモジュールの
index.phpの中にecho文を仕込まれ、トップページの冒頭にaタグを埋め込まれました。その結果、スタートモジュール
のページのどこかをクリックするとsitegrep.netに飛ばされるという状態になりました。
他にも、ウェブのルートディレクトリに、"i ndex.php"という怪しい名前のファイルが作られていて、中身は
NobodyCoderの自己PRでした。
この状況を見る限り、xoopsサイトがクラックされたのではなく、
FTP接続情報を盗まれたのではないでしょうか(;´Д`)
サーバの中に入れない状態で今回の状況を実現しようとしたら、
modules/news/index.phpを狙い打ちで自動書き換えするスクリプトを作成し、
それをアップローダ系モジュールを通してUPしたうえで呼び出して
発動させる、などのような手順が用いられるのではないかと思われますが
ご発言を拝見する限り、それに相当するような[スクリプトファイル]は特にないようですし。
というわけで、おいらならまずは自分のマシンと、それが所属しているネットワーク内の各マシンについて
ウィルス/ワームのチェックをされるとともに、ネット環境のセキュリティ点検と確認をします。
ついでに、xoops側の管理者権限アカウントについても、パスワード変更しておきたくなるかもです。
Re: クラックされました
投稿者: homerun | 投稿日時: 2010/6/18 10:31
ガンブラーですね。indexと名のつくファイル、JSファイルをだいたい3階層めくらいまで追ってきて、改ざんします。
他のCMSでやられちゃった★ことがあるんですが、やっぱりFTPのログを見ると中国からFTPアクセスされてた、なんてことになってました★★。
ログが確認できるなら見てみるとわかると思いますよ。
感染しているパソコンからFTPアクセスするときに情報が漏れます。なのでIDを使っている人、あるいは自身のパソコンを調べて感染していないかとか調べるといいんじゃないでしょうか?
XOOPSを乗り越えてくるのは相当難しいんじゃないでしょうか。Marijanaさんレベルならできるのかもしれませんが、サーバー内のファイルを書き換えるのはFTPあくせすをしないと、難しいとおもうにゃー
Re: クラックされました
引用:
ガンブラーだと、ご指摘の通り、多階層に渡ってのindex.○○○ファイルと、JavaScriptファイルが改ざんされますよね。
で……投稿主さんの状況を見る限り、modules/news/index.php+ルートのindex.phpのみが
改ざんされているようですので、ガンブラーではない可能性が高いと思われますが、いかがでしょう?
まぁどっちにしろ、FTPのアカウント名+パスが盗まれたってことには違いはないですが(^^;
ガンブラーですね。indexと名のつくファイル、JSファイルをだいたい3階層めくらいまで追ってきて、改ざんします。
ガンブラーだと、ご指摘の通り、多階層に渡ってのindex.○○○ファイルと、JavaScriptファイルが改ざんされますよね。
で……投稿主さんの状況を見る限り、modules/news/index.php+ルートのindex.phpのみが
改ざんされているようですので、ガンブラーではない可能性が高いと思われますが、いかがでしょう?
まぁどっちにしろ、FTPのアカウント名+パスが盗まれたってことには違いはないですが(^^;
Re: クラックされました
Re: クラックされました
引用:
脆弱性があればcgiでapacheがユーザ権限で動いていれば、ファイルの書き換えは普通に出来るので、そうとも限らないかと。
管理権限乗っ取ってカスタムブロックからでも書き換えは可能です。
template_cに不正なファイルアップされてスパムの踏み台にされてたり、いろいろ改ざんされてたりのX2サイトを最近よく見る気がする。。。
もちろんどのサイトも変なモジュールもなく、プロテクターも入っているサイトでした。
Smartyの脆弱性でも突かれたんじゃないかと思いますが、今更X2なんで詳しく調べてません。
もはやメンテされてないX2を使い続けてれば、しょうがないんじゃないかなぁ
SmartyがどれだけアップデートされてるかCHANGELOG見ればわかるかと。
XOOPS2.0.16aのモジュールもXSSかなんかがあった覚えがあるけど。。。
まぁどっちにしろ、FTPのアカウント名+パスが盗まれたってことには違いはないですが(^^;
脆弱性があればcgiでapacheがユーザ権限で動いていれば、ファイルの書き換えは普通に出来るので、そうとも限らないかと。
管理権限乗っ取ってカスタムブロックからでも書き換えは可能です。
template_cに不正なファイルアップされてスパムの踏み台にされてたり、いろいろ改ざんされてたりのX2サイトを最近よく見る気がする。。。
もちろんどのサイトも変なモジュールもなく、プロテクターも入っているサイトでした。
Smartyの脆弱性でも突かれたんじゃないかと思いますが、今更X2なんで詳しく調べてません。
もはやメンテされてないX2を使い続けてれば、しょうがないんじゃないかなぁ
SmartyがどれだけアップデートされてるかCHANGELOG見ればわかるかと。
XOOPS2.0.16aのモジュールもXSSかなんかがあった覚えがあるけど。。。
Re: クラックされました
Re: クラックされました
引用:
個人的にはメンテが停止された段階で、自分でメンテ出来ない場合はXOOPS2.0.16a自体使わないように、XCLやJPExにアップグレードするべきだと思います。
#XCLも古いSmartyだったりしますけど。。。
引用:
XOOPS_ROOT_PATH/class/smartyをバックアップする
ここからSmarty2.6.26をダウンロード
Smarty-2.6.26.tar.gzを解凍する
Smarty-2.6.26/libs/pluginsにXOOPS_ROOT_PATH/class/smarty/plugins/resource.db.phpをコピーする
XOOPS_ROOT_PATH/class/smartyの中身を丸ごと削除
Smarty-2.6.26/libsの中身をXOOPS_ROOT_PATH/class/smartyにコピー
基本的にはこれだけ
他にXOOPS_ROOT_PATH/class/smarty/pluginsに追加したファイルがあればresource.db.phpと同様にコピーする
XOOPS(XCL含む)では、Smarty.class.phpにパッチをあててinternalsではなくcoreを読み込んでいるので、
coreに追加したファイルがある場合は、XOOPS_ROOT_PATH/class/smarty/coreからinternalsにコピーする
X2もXCLもこんな感じでほとんどの場合大丈夫だと思います。
#Smarty3.0rc2は動きません
こういうのって、smartyがアップデートされたときにはやっぱりアップデートが必要なんですっか??★
個人的にはメンテが停止された段階で、自分でメンテ出来ない場合はXOOPS2.0.16a自体使わないように、XCLやJPExにアップグレードするべきだと思います。
#XCLも古いSmartyだったりしますけど。。。
引用:
ディストリビューションの中にあるsmartyに上書き!っていう感じで更新できるのかなあ。
不具合が出る、かも、っていうのは前提なんでしょうけど。
XOOPS_ROOT_PATH/class/smartyをバックアップする
ここからSmarty2.6.26をダウンロード
Smarty-2.6.26.tar.gzを解凍する
Smarty-2.6.26/libs/pluginsにXOOPS_ROOT_PATH/class/smarty/plugins/resource.db.phpをコピーする
XOOPS_ROOT_PATH/class/smartyの中身を丸ごと削除
Smarty-2.6.26/libsの中身をXOOPS_ROOT_PATH/class/smartyにコピー
基本的にはこれだけ
他にXOOPS_ROOT_PATH/class/smarty/pluginsに追加したファイルがあればresource.db.phpと同様にコピーする
XOOPS(XCL含む)では、Smarty.class.phpにパッチをあててinternalsではなくcoreを読み込んでいるので、
coreに追加したファイルがある場合は、XOOPS_ROOT_PATH/class/smarty/coreからinternalsにコピーする
X2もXCLもこんな感じでほとんどの場合大丈夫だと思います。
#Smarty3.0rc2は動きません
Re: クラックされました
Re: クラックされました
Re: クラックされました
編集しようと思ったら期限切れ(汗)
引用:
XOOPS_ROOT_PATH/class/smartyをバックアップする
ここからSmarty2.6.26をダウンロード
Smarty-2.6.26.tar.gzを解凍する
Smarty-2.6.26/libs/pluginsにXOOPS_ROOT_PATH/class/smarty/plugins/resource.db.phpをコピーする
XOOPS_ROOT_PATH/class/smartyの中身を丸ごと削除
Smarty-2.6.26/libsの中身をXOOPS_ROOT_PATH/class/smartyにコピー
基本的にはこれだけ
他にXOOPS_ROOT_PATH/class/smarty/pluginsに追加したファイルがあればresource.db.phpと同様にコピーする
XOOPS(XCL含む)では、Smarty.class.phpにパッチをあててinternalsではなくcoreを読み込んでいるので、
coreに追加したファイルがある場合は、XOOPS_ROOT_PATH/class/smarty/coreからinternalsにコピーする
Smarty-2.6.26/libs/pluginsにXOOPS_ROOT_PATH/class/smarty/plugins/*.xoops_*.phpもコピーする必要があります。