技術のタマゴ

カスタマイズとPC豆知識、ブログについて考えること。

Hacked by Jacko Nexus と 0wnded by Gantengers Crew への対処法【VALUE-SERVER】

2014年1月19日16:40頃、バリューサーバー、s1.valueserver.jpが
クラッキング(ハッキング)されました。

HackedbyJackoNexus.png
(Hacked by Jacko Nexus)

二度目の書き換えがあったのは、22時過ぎに二回。今度は音楽が流れます。

0wnedbyGantengersCrew.png
(0wnded by Gantengers Crew)

今のところ、サイトの閲覧者に悪影響がある改ざんではないようですが、
VALUE-SERVER側で根本的な対処が行われない限り、いつ悪意のあるページに
書き換えられても不思議ではない状態です。

最新の情報や、技術情報の共有は、VALUE-DOMAIN.comのユーザーフォーラム、
s1.valueserver.jpへのクラッキングについて にてお願いします。

1月20日00:50に障害情報も出ていて、サーバ管理側でも脆弱性について
対策中のこと。

サーバ側の対策がされない限り、ファイルを修正しても、また
書き換えられてしまう可能性はありますが、現在の状態だと、
次の対処方法でサイトを修正することができるそうです。

**********************************************

トップディレクトリの
id.htm、in.php、index.php、index.htm、index.htmlを削除(※1)。

元からあったindex.*は改ざんされているので、修正。

WordPressサイトの場合だと、上記5ファイルを削除後、
index.phpを再設置(※2)。
wp-admin/index.phpを修正(wordpressの管理画面に入れない)。

DBは今のところ問題なし。  (ユーザーフォーラムより抜粋)

**********************************************

【※1】in.phpについて(詳細はフォーラム参照)

in.phpですが、”普通は”白紙ページを返すように見えますが、
特定のパラメータを渡すと悪いことが出来るようになっています。
いつ悪意のあるページに書き換えられてもおかしくありません
何もしないように見えてもっとも危険。必ず削除を。

【※2】WordPress、index.phpの設置箇所

wordpress.org または ja.wordpress.org からダウンロードした
.zipファイルを解凍し中にあるindex.phpを再設置してください。
英語版と日本語版の違いはありますが、index.phpは一緒です。

解凍して出来たwordpress直下のindex.phpをトップディレクトリに。
wp-adminの中にあるindex.phpをサーバーのwp-admin直下に配置。
2つのindex.phpの中身は違うので間違えないようにしてください。
さらに、wp-admin/user/index.php、wp-admin/network/index.php他、
各テーマ、プラグイン、にもインデックスファイルは存在しますので
設置してください。

(注意点をフォーラムに書き込みのあったTomさんからいただきました。
 ありがとうございました!)

**********************************************

Gantengers Crew というインドネシアのチームが、全世界で
悪さをしているという話です。

もし、自分のお気に入りサイトが改ざんされているのを発見した場合は、
現時点ではサイトを見てしまっても危険は無いので、慌てずに、
運営している方に、お知らせしてあげてくださいね!

【追加情報】

1月20日午前3時現在、s1.valueserver.jp上のサイトには接続が
できない状況になっています。サーバ管理側で対応中のようです。

⇒ サーバ復帰を確認しました。7:00

⇒ 改ざんファイルの削除作業を実施中とのアナウンスあり。11:40

⇒ 「index*」というファイル(改ざんされていた)は、管理側で
  退避完了・確認中とのアナウンスがありました(ファイル削除)。
  バックアップ等から、必要なインデックスページのデータを
  自分でサーバに上げて復旧させてください。12:40

  データ復旧前は、サイトが403 Forbidden。
  WordPressであれば管理画面にも入れない状態です。
  ハッカーに追加されたid.htm、in.phpもフォルダに残っていないか、
  自分で確認、あれば削除してください。

⇒ id.htm、in.php、index.php、index.htm、index.htmlは、
  改ざんがあった場合のみ削除されたとのことです。
  必要ファイルがない場合はアップロードして対処してください。15:40

サーバ管理側では、これで障害対応完了とするようです。
⇒ 14:40~ 他サーバでも緊急メンテナンス(システムアップデート・
  再起動作業)が行われています。

”#しかし未だ開ける必要のないポートが沢山開いている…。
iptablesでファイアウォール設定とかやってないのでしょうね…。
OSやミドルウェアの更新とかも定期的にやらずに放置だったのでしょうね…。”
                  ~フォーラムより

ダイジョブですかね?バリューサーバー。ていうかGMOさん。

第三・四弾の改ざんを確認しました。17:20、18:00
  ”why we hack your server??” 完全に遊ばれてます。
  最新の対応策はフォーラム

  インデックスファイルを再アップロードすることで、復旧したサイトも
  多いようですが、いつ第五弾の攻撃が来るか分かりません。
  サーバ管理側で侵入口となりうるポートを塞ぐなど、現状考えられうる
  対策が施されたとは言え、相手がその気になれば、全面的な書き換えも
  できるのかもしれません。
  基本的なことではありますが、データベースも含め、全てのフォルダ・
  ファイルのバックアップをとっておくことをお勧めします。

  障害情報によると、WordPressの脆弱性をついて、あるユーザーに
  不正なプログラムが設置されていたそうです。
  この該当者一人にだけ原因があったわけではなく、他のユーザーでも
  WordPressの脆弱性がそのままになっているのが発見されたそうです。
  s1サーバ以外でも現在不正プログラムの有無のチェック中とのことで、
  動作実行がなかっただけで、やはり他のサーバも他人事というわけ
  ではなかったんですね。 21日7:00

 ”同攻撃者からの試行が確認できておりますが、再発はしていない”
  とのアナウンスがありました。まだまだ狙われているようです。
  22日2:30

続きを書きました⇒
実は大事件だったバリューサーバー(s1.valueserver.jp)改ざんを
 振り返って思うこと

*****

こちらにも詳しい情報があります。

VALUE SERVER クラッキング、改ざん被害 (s1.valueserver.jpの件)
 対応後も再び改ざん!!
~ ばびぶべぼBlog

(下記の2サイトはVALUE SERVER【s1】上にありアクセスできないときも)

s1.valueserver.jpがクラッキングされファイルが改竄された
 件について(二度目の改竄あり)
~ KUMALOG

クラッキング(ハッキング)被害を受けたサイト管理者がとるべき
 2つの重要な対策
~ Big Bang

♪ 関連記事 ♪

Windowsの画面を拡大・縮小する方法... PCを使ってブログを読んだり、Webサイトを見ているとき、 スマホやiPadのように、手軽に画面を大きくできる方法は ないのかなーって思ったりしたことはないですか? とても簡単な方法がありまして、 Ctrlキーを押しながら、マウスの真ん中...
クレジットカードの更新とレンタルサーバ料金の支払い... さくらインターネットから、サービスの料金の支払いに登録しているクレジットカードの有効期限が今月末までなので登録情報を更新して下さい、というメールが届きました。 そういえばカードの有効期限がそろそろ切れるなぁって、先々月あたり、エックス...
新しいノートPCを買ったら色設定が違和感ありまくりで驚いた... 先日、やっとノートPCを買い換えました。 SONYのVAIOから、東芝のdynabookに乗り換えです。 2月に、ノートPCの上で転び、タッチパッドあたりに ひびを入れてしまってから、右クリックが使えない上に、 よく落ちるようになっちゃっ...
ad.yieldmanager.comのポップアップ広告(あし@設置ブログ)をブロッ... ここ2、3日のことだと思うのですが、ある複数のブログを見に行くと、 こんなポップアップ広告が表示されるようになりました。 (2013年9月23日現在) 原因は置いておいて、手っ取り早く表示を消したい人は、本編へ。 *****...
ad.yieldmanager.comのポップアップ広告をブロックする方法・本編... あし@を使っているブログ主が、ツールを外しさえすれば消える ad.yieldmanager.comの悪質なポップアップ釣り広告↓。 (2013年9月23日現在) スパイウェアを検出しました。これ、嘘ですから。 広告が...

コメント

  • VALUE SERVER クラッキング、改ざん被害 (s1.valueserver.jpの件) 対応後も再び改ざん!!

    GMOデジロック(旧デジロック)が運営する共有レンタルサーバー「VALUE SERVER」が、クラッキングされ、Indexページ改ざんという被害が発生しています。 発生日時は2014/1/19 16:40で、01/20 2時~3時頃まで改ざんされたページが表示される状況でした。現状につきましては、公式の障害情報ページにて発表があります。 改ざん内容ですが、ユーザーフォーラム「s1.valueserver.jpへのクラッキングについて」によると(Nullは私です) 「index.*」のファイル内容が書…

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です