ホーム > フォーラム > 質問箱 > X2.0.16a JP > クラックされました

クラックされました
投稿者: HowardGee | 投稿日時: 2010/6/17 13:24 | 閲覧: 19219回
HowardGee

お恥ずかしい話ですが、クラックされました。参考にもならない話かもしれませんが、一応ご報告させていただきます。

もしチェックするべき点や今後気を付けるところなどアドバイスありましたら、是非お願いいたします。

いくつかあるサイトのうち、まだ2.0.16a JPで運営しているところで、スタートモジュールにしてあるnewsモジュールのindex.phpの中にecho文を仕込まれ、トップページの冒頭にaタグを埋め込まれました。その結果、スタートモジュールのページのどこかをクリックするとsitegrep.netに飛ばされるという状態になりました。

他にも、ウェブのルートディレクトリに、"i ndex.php"という怪しい名前のファイルが作られていて、中身はNobodyCoderの自己PRでした。

ディレクトリやファイルの書き込み権限で危険な状態のファイルはないと思います。Protectorモジュールも入れてあり、ログを見ると、改ざんが行われたと思われる期間にDoSがかけられていました。WWWのログでは、疑わしい時間帯にnewsモジュールのsubmitが呼び出されていましたが、これが改ざんと関係あるのかはわかりません。

対応としては、ルートの怪しいファイル削除、問題のecho文の除去を行いました。何か他にもチェックすべきことはありますか。

コメント(10)

Re: クラックされました 
投稿者: SAK-AXYZ | 投稿日時: 2010/6/17 14:43
SAK-AXYZ
引用:
いくつかあるサイトのうち、まだ2.0.16a JPで運営しているところで、スタートモジュールにしてあるnewsモジュールの
index.phpの中にecho文を仕込まれ、トップページの冒頭にaタグを埋め込まれました。その結果、スタートモジュール
のページのどこかをクリックするとsitegrep.netに飛ばされるという状態になりました。

他にも、ウェブのルートディレクトリに、"i ndex.php"という怪しい名前のファイルが作られていて、中身は
NobodyCoderの自己PRでした。


この状況を見る限り、xoopsサイトがクラックされたのではなく、
FTP接続情報を盗まれたのではないでしょうか(;´Д`)

サーバの中に入れない状態で今回の状況を実現しようとしたら、
modules/news/index.phpを狙い打ちで自動書き換えするスクリプトを作成し、
それをアップローダ系モジュールを通してUPしたうえで呼び出して
発動させる、などのような手順が用いられるのではないかと思われますが
ご発言を拝見する限り、それに相当するような[スクリプトファイル]は特にないようですし。

というわけで、おいらならまずは自分のマシンと、それが所属しているネットワーク内の各マシンについて
ウィルス/ワームのチェックをされるとともに、ネット環境のセキュリティ点検と確認をします。
ついでに、xoops側の管理者権限アカウントについても、パスワード変更しておきたくなるかもです。
Re: クラックされました 
投稿者: homerun | 投稿日時: 2010/6/18 10:31
homerun

ガンブラーですね。indexと名のつくファイル、JSファイルをだいたい3階層めくらいまで追ってきて、改ざんします。

他のCMSでやられちゃった★ことがあるんですが、やっぱりFTPのログを見ると中国からFTPアクセスされてた、なんてことになってました★★。
ログが確認できるなら見てみるとわかると思いますよ。

感染しているパソコンからFTPアクセスするときに情報が漏れます。なのでIDを使っている人、あるいは自身のパソコンを調べて感染していないかとか調べるといいんじゃないでしょうか?

XOOPSを乗り越えてくるのは相当難しいんじゃないでしょうか。Marijanaさんレベルならできるのかもしれませんが、サーバー内のファイルを書き換えるのはFTPあくせすをしないと、難しいとおもうにゃー
#20552 | | 返信する |
Re: クラックされました 
投稿者: SAK-AXYZ | 投稿日時: 2010/6/18 14:16 | 親コメント: #20552
SAK-AXYZ
引用:
ガンブラーですね。indexと名のつくファイル、JSファイルをだいたい3階層めくらいまで追ってきて、改ざんします。


ガンブラーだと、ご指摘の通り、多階層に渡ってのindex.○○○ファイルと、JavaScriptファイルが改ざんされますよね。
で……投稿主さんの状況を見る限り、modules/news/index.php+ルートのindex.phpのみが
改ざんされているようですので、ガンブラーではない可能性が高いと思われますが、いかがでしょう?

まぁどっちにしろ、FTPのアカウント名+パスが盗まれたってことには違いはないですが(^^;
Re: クラックされました 
投稿者: homerun | 投稿日時: 2010/6/18 18:01 | 親コメント: #20554
homerun
引用:
ガンブラーではない可能性が高いと思われますが、いかがでしょう?


他の改ざんに気付いてニャいってことはないのかなあ☆ー
Re: クラックされました 
投稿者: Marijuana | 投稿日時: 2010/6/19 13:51 | 親コメント: #20554
Marijuana
引用:
まぁどっちにしろ、FTPのアカウント名+パスが盗まれたってことには違いはないですが(^^;

脆弱性があればcgiでapacheがユーザ権限で動いていれば、ファイルの書き換えは普通に出来るので、そうとも限らないかと。
管理権限乗っ取ってカスタムブロックからでも書き換えは可能です。

template_cに不正なファイルアップされてスパムの踏み台にされてたり、いろいろ改ざんされてたりのX2サイトを最近よく見る気がする。。。
もちろんどのサイトも変なモジュールもなく、プロテクターも入っているサイトでした。
Smartyの脆弱性でも突かれたんじゃないかと思いますが、今更X2なんで詳しく調べてません。

もはやメンテされてないX2を使い続けてれば、しょうがないんじゃないかなぁ
SmartyがどれだけアップデートされてるかCHANGELOG見ればわかるかと。
XOOPS2.0.16aのモジュールもXSSかなんかがあった覚えがあるけど。。。
Re: クラックされました 
投稿者: homerun | 投稿日時: 2010/6/22 11:01 | 親コメント: #20558
homerun

なるほど浅はかでちた。
どうやってtemplate_cとかのっとったりするんですか?(←答えちゃ危険!)

引用:
Smartyの脆弱性でも突かれたんじゃないかと思いますが、今更X2なんで詳しく調べてません。


こういうのって、smartyがアップデートされたときにはやっぱりアップデートが必要なんですっか??★
ディストリビューションの中にあるsmartyに上書き!っていう感じで更新できるのかなあ。
不具合が出る、かも、っていうのは前提なんでしょうけど。
Re: クラックされました 
投稿者: Marijuana | 投稿日時: 2010/6/22 18:12 | 親コメント: #20559
Marijuana
引用:
こういうのって、smartyがアップデートされたときにはやっぱりアップデートが必要なんですっか??★

個人的にはメンテが停止された段階で、自分でメンテ出来ない場合はXOOPS2.0.16a自体使わないように、XCLやJPExにアップグレードするべきだと思います。
#XCLも古いSmartyだったりしますけど。。。


引用:
ディストリビューションの中にあるsmartyに上書き!っていう感じで更新できるのかなあ。
不具合が出る、かも、っていうのは前提なんでしょうけど。

XOOPS_ROOT_PATH/class/smartyをバックアップする

ここからSmarty2.6.26をダウンロード
Smarty-2.6.26.tar.gzを解凍する
Smarty-2.6.26/libs/pluginsにXOOPS_ROOT_PATH/class/smarty/plugins/resource.db.phpをコピーする
XOOPS_ROOT_PATH/class/smartyの中身を丸ごと削除
Smarty-2.6.26/libsの中身をXOOPS_ROOT_PATH/class/smartyにコピー

基本的にはこれだけ

他にXOOPS_ROOT_PATH/class/smarty/pluginsに追加したファイルがあればresource.db.phpと同様にコピーする

XOOPS(XCL含む)では、Smarty.class.phpにパッチをあててinternalsではなくcoreを読み込んでいるので、
coreに追加したファイルがある場合は、XOOPS_ROOT_PATH/class/smarty/coreからinternalsにコピーする

X2もXCLもこんな感じでほとんどの場合大丈夫だと思います。
#Smarty3.0rc2は動きません
Re: クラックされました 
投稿者: HowardGee | 投稿日時: 2010/6/22 22:21 | 親コメント: #20560
HowardGee

皆様

いろいろな情報およびアドバイスありがとうございました。

XOOPSを最新版にアップデートしなければと思いつつ、先延ばしにしていた罰があたったと反省しております。

頂いたポインタを手がかりに自分なりに調べてできる限りの対応と、何よりLegacyの最新版への移行を急ぎたいと思います。

今後もよろしくお願いいたします。
Re: クラックされました 
投稿者: homerun | 投稿日時: 2010/6/23 14:40 | 親コメント: #20560
homerun

セキュリティー上はアップデートが必要ってわけですねー

smartyもチェックしないとダメなのかー、けっこう大変だあ。
でもいろいろ教えていただいて賢くなりました☆

ありがとうございます!♪
Re: クラックされました 
投稿者: Marijuana | 投稿日時: 2010/6/28 19:01 | 親コメント: #20560
Marijuana

編集しようと思ったら期限切れ(汗)

引用:
XOOPS_ROOT_PATH/class/smartyをバックアップする

ここからSmarty2.6.26をダウンロード
Smarty-2.6.26.tar.gzを解凍する
Smarty-2.6.26/libs/pluginsにXOOPS_ROOT_PATH/class/smarty/plugins/resource.db.phpをコピーする
XOOPS_ROOT_PATH/class/smartyの中身を丸ごと削除
Smarty-2.6.26/libsの中身をXOOPS_ROOT_PATH/class/smartyにコピー

基本的にはこれだけ

他にXOOPS_ROOT_PATH/class/smarty/pluginsに追加したファイルがあればresource.db.phpと同様にコピーする

XOOPS(XCL含む)では、Smarty.class.phpにパッチをあててinternalsではなくcoreを読み込んでいるので、
coreに追加したファイルがある場合は、XOOPS_ROOT_PATH/class/smarty/coreからinternalsにコピーする


Smarty-2.6.26/libs/pluginsにXOOPS_ROOT_PATH/class/smarty/plugins/*.xoops_*.phpもコピーする必要があります。

    投票(0)

    新しいものから | 古いものから | RSS feed
     
    To Top