技術のタマゴ

カスタマイズとPC豆知識、ブログについて考えること。

Hacked by Jacko Nexus と 0wnded by Gantengers Crew への対処法【VALUE-SERVER】

2014年1月19日16:40頃、バリューサーバー、s1.valueserver.jpが
クラッキング(ハッキング)されました。

HackedbyJackoNexus.png
(Hacked by Jacko Nexus)

二度目の書き換えがあったのは、22時過ぎに二回。今度は音楽が流れます。

0wnedbyGantengersCrew.png
(0wnded by Gantengers Crew)

今のところ、サイトの閲覧者に悪影響がある改ざんではないようですが、
VALUE-SERVER側で根本的な対処が行われない限り、いつ悪意のあるページに
書き換えられても不思議ではない状態です。

最新の情報や、技術情報の共有は、VALUE-DOMAIN.comのユーザーフォーラム、
s1.valueserver.jpへのクラッキングについて にてお願いします。

1月20日00:50に障害情報も出ていて、サーバ管理側でも脆弱性について
対策中のこと。

サーバ側の対策がされない限り、ファイルを修正しても、また
書き換えられてしまう可能性はありますが、現在の状態だと、
次の対処方法でサイトを修正することができるそうです。

**********************************************

トップディレクトリの
id.htm、in.php、index.php、index.htm、index.htmlを削除(※1)。

元からあったindex.*は改ざんされているので、修正。

WordPressサイトの場合だと、上記5ファイルを削除後、
index.phpを再設置(※2)。
wp-admin/index.phpを修正(wordpressの管理画面に入れない)。

DBは今のところ問題なし。  (ユーザーフォーラムより抜粋)

**********************************************

【※1】in.phpについて(詳細はフォーラム参照)

in.phpですが、”普通は”白紙ページを返すように見えますが、
特定のパラメータを渡すと悪いことが出来るようになっています。
いつ悪意のあるページに書き換えられてもおかしくありません
何もしないように見えてもっとも危険。必ず削除を。

【※2】WordPress、index.phpの設置箇所

wordpress.org または ja.wordpress.org からダウンロードした
.zipファイルを解凍し中にあるindex.phpを再設置してください。
英語版と日本語版の違いはありますが、index.phpは一緒です。

解凍して出来たwordpress直下のindex.phpをトップディレクトリに。
wp-adminの中にあるindex.phpをサーバーのwp-admin直下に配置。
2つのindex.phpの中身は違うので間違えないようにしてください。
さらに、wp-admin/user/index.php、wp-admin/network/index.php他、
各テーマ、プラグイン、にもインデックスファイルは存在しますので
設置してください。

(注意点をフォーラムに書き込みのあったTomさんからいただきました。
 ありがとうございました!)

**********************************************

Gantengers Crew というインドネシアのチームが、全世界で
悪さをしているという話です。

もし、自分のお気に入りサイトが改ざんされているのを発見した場合は、
現時点ではサイトを見てしまっても危険は無いので、慌てずに、
運営している方に、お知らせしてあげてくださいね!

【追加情報】

1月20日午前3時現在、s1.valueserver.jp上のサイトには接続が
できない状況になっています。サーバ管理側で対応中のようです。

⇒ サーバ復帰を確認しました。7:00

⇒ 改ざんファイルの削除作業を実施中とのアナウンスあり。11:40

⇒ 「index*」というファイル(改ざんされていた)は、管理側で
  退避完了・確認中とのアナウンスがありました(ファイル削除)。
  バックアップ等から、必要なインデックスページのデータを
  自分でサーバに上げて復旧させてください。12:40

  データ復旧前は、サイトが403 Forbidden。
  WordPressであれば管理画面にも入れない状態です。
  ハッカーに追加されたid.htm、in.phpもフォルダに残っていないか、
  自分で確認、あれば削除してください。

⇒ id.htm、in.php、index.php、index.htm、index.htmlは、
  改ざんがあった場合のみ削除されたとのことです。
  必要ファイルがない場合はアップロードして対処してください。15:40

サーバ管理側では、これで障害対応完了とするようです。
⇒ 14:40~ 他サーバでも緊急メンテナンス(システムアップデート・
  再起動作業)が行われています。

”#しかし未だ開ける必要のないポートが沢山開いている…。
iptablesでファイアウォール設定とかやってないのでしょうね…。
OSやミドルウェアの更新とかも定期的にやらずに放置だったのでしょうね…。”
                  ~フォーラムより

ダイジョブですかね?バリューサーバー。ていうかGMOさん。

第三・四弾の改ざんを確認しました。17:20、18:00
  ”why we hack your server??” 完全に遊ばれてます。
  最新の対応策はフォーラム

  インデックスファイルを再アップロードすることで、復旧したサイトも
  多いようですが、いつ第五弾の攻撃が来るか分かりません。
  サーバ管理側で侵入口となりうるポートを塞ぐなど、現状考えられうる
  対策が施されたとは言え、相手がその気になれば、全面的な書き換えも
  できるのかもしれません。
  基本的なことではありますが、データベースも含め、全てのフォルダ・
  ファイルのバックアップをとっておくことをお勧めします。

  障害情報によると、WordPressの脆弱性をついて、あるユーザーに
  不正なプログラムが設置されていたそうです。
  この該当者一人にだけ原因があったわけではなく、他のユーザーでも
  WordPressの脆弱性がそのままになっているのが発見されたそうです。
  s1サーバ以外でも現在不正プログラムの有無のチェック中とのことで、
  動作実行がなかっただけで、やはり他のサーバも他人事というわけ
  ではなかったんですね。 21日7:00

 ”同攻撃者からの試行が確認できておりますが、再発はしていない”
  とのアナウンスがありました。まだまだ狙われているようです。
  22日2:30

続きを書きました⇒
実は大事件だったバリューサーバー(s1.valueserver.jp)改ざんを
 振り返って思うこと

*****

こちらにも詳しい情報があります。

VALUE SERVER クラッキング、改ざん被害 (s1.valueserver.jpの件)
 対応後も再び改ざん!!
~ ばびぶべぼBlog

(下記の2サイトはVALUE SERVER【s1】上にありアクセスできないときも)

s1.valueserver.jpがクラッキングされファイルが改竄された
 件について(二度目の改竄あり)
~ KUMALOG

クラッキング(ハッキング)被害を受けたサイト管理者がとるべき
 2つの重要な対策
~ Big Bang

♪ 関連記事 ♪

Windows8でローマ字入力/かな入力を切り替える方法... キーボードで文字を入力していると、何かの拍子に、ローマ字 入力から、かな入力に切り替わってしまうことがあります。 「A」キーを押して「あ」と打ったつもりが「ち」になるアレです。 Windows7、Vista、XPのときは、言語...
さくらのブログのコメントスパム対策... このブログ、さくらのブログには、 コメントに、スパム対策が付いています。 実は、私、この対策により、5回くらいブロックされて コメントが書き込めなくなりました。 自分の管理するブログだと言うのに。 一度ブロックされると、何時間がコメント...
自分の記事がTwitterでどうつぶやかれたか知る方法... 自分のブログやサイトの解析データを Google Analytics の標準レポートで見てみます。 トラフィック⇒参照元⇒すべてのトラフィックで 参照元/メディア データに 「t.co / referral」という項目が見つかったりします...
ネットショップで働いて改めて気づいたこと~伝えるためのデザイン... デザインのためのデザインはいらない! 今年の5月、ずっとやってみたいと思っていたネットショップの 仕事(主に更新業務)に就くことができました。 出店・出品しているのは、楽天市場だったり、Amazonだったりするのですが、 お...
記事中のURL補間を無効にする さくらのブログの管理画面には、 設定> 記事設定 Seesaaなら、 設定> 詳細設定> 記事設定 に 『URL補間』という項目があります。 この『URL補間』はデフォルトで、「補完する」に チェックがついています。  '...

コメント

  • VALUE SERVER クラッキング、改ざん被害 (s1.valueserver.jpの件) 対応後も再び改ざん!!

    GMOデジロック(旧デジロック)が運営する共有レンタルサーバー「VALUE SERVER」が、クラッキングされ、Indexページ改ざんという被害が発生しています。 発生日時は2014/1/19 16:40で、01/20 2時~3時頃まで改ざんされたページが表示される状況でした。現状につきましては、公式の障害情報ページにて発表があります。 改ざん内容ですが、ユーザーフォーラム「s1.valueserver.jpへのクラッキングについて」によると(Nullは私です) 「index.*」のファイル内容が書…

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です