技術のタマゴ

カスタマイズとPC豆知識、ブログについて考えること。

Hacked by Jacko Nexus と 0wnded by Gantengers Crew への対処法【VALUE-SERVER】

2014年1月19日16:40頃、バリューサーバー、s1.valueserver.jpが
クラッキング(ハッキング)されました。

HackedbyJackoNexus.png
(Hacked by Jacko Nexus)

二度目の書き換えがあったのは、22時過ぎに二回。今度は音楽が流れます。

0wnedbyGantengersCrew.png
(0wnded by Gantengers Crew)

今のところ、サイトの閲覧者に悪影響がある改ざんではないようですが、
VALUE-SERVER側で根本的な対処が行われない限り、いつ悪意のあるページに
書き換えられても不思議ではない状態です。

最新の情報や、技術情報の共有は、VALUE-DOMAIN.comのユーザーフォーラム、
s1.valueserver.jpへのクラッキングについて にてお願いします。

1月20日00:50に障害情報も出ていて、サーバ管理側でも脆弱性について
対策中のこと。

サーバ側の対策がされない限り、ファイルを修正しても、また
書き換えられてしまう可能性はありますが、現在の状態だと、
次の対処方法でサイトを修正することができるそうです。

**********************************************

トップディレクトリの
id.htm、in.php、index.php、index.htm、index.htmlを削除(※1)。

元からあったindex.*は改ざんされているので、修正。

WordPressサイトの場合だと、上記5ファイルを削除後、
index.phpを再設置(※2)。
wp-admin/index.phpを修正(wordpressの管理画面に入れない)。

DBは今のところ問題なし。  (ユーザーフォーラムより抜粋)

**********************************************

【※1】in.phpについて(詳細はフォーラム参照)

in.phpですが、”普通は”白紙ページを返すように見えますが、
特定のパラメータを渡すと悪いことが出来るようになっています。
いつ悪意のあるページに書き換えられてもおかしくありません
何もしないように見えてもっとも危険。必ず削除を。

【※2】WordPress、index.phpの設置箇所

wordpress.org または ja.wordpress.org からダウンロードした
.zipファイルを解凍し中にあるindex.phpを再設置してください。
英語版と日本語版の違いはありますが、index.phpは一緒です。

解凍して出来たwordpress直下のindex.phpをトップディレクトリに。
wp-adminの中にあるindex.phpをサーバーのwp-admin直下に配置。
2つのindex.phpの中身は違うので間違えないようにしてください。
さらに、wp-admin/user/index.php、wp-admin/network/index.php他、
各テーマ、プラグイン、にもインデックスファイルは存在しますので
設置してください。

(注意点をフォーラムに書き込みのあったTomさんからいただきました。
 ありがとうございました!)

**********************************************

Gantengers Crew というインドネシアのチームが、全世界で
悪さをしているという話です。

もし、自分のお気に入りサイトが改ざんされているのを発見した場合は、
現時点ではサイトを見てしまっても危険は無いので、慌てずに、
運営している方に、お知らせしてあげてくださいね!

【追加情報】

1月20日午前3時現在、s1.valueserver.jp上のサイトには接続が
できない状況になっています。サーバ管理側で対応中のようです。

⇒ サーバ復帰を確認しました。7:00

⇒ 改ざんファイルの削除作業を実施中とのアナウンスあり。11:40

⇒ 「index*」というファイル(改ざんされていた)は、管理側で
  退避完了・確認中とのアナウンスがありました(ファイル削除)。
  バックアップ等から、必要なインデックスページのデータを
  自分でサーバに上げて復旧させてください。12:40

  データ復旧前は、サイトが403 Forbidden。
  WordPressであれば管理画面にも入れない状態です。
  ハッカーに追加されたid.htm、in.phpもフォルダに残っていないか、
  自分で確認、あれば削除してください。

⇒ id.htm、in.php、index.php、index.htm、index.htmlは、
  改ざんがあった場合のみ削除されたとのことです。
  必要ファイルがない場合はアップロードして対処してください。15:40

サーバ管理側では、これで障害対応完了とするようです。
⇒ 14:40~ 他サーバでも緊急メンテナンス(システムアップデート・
  再起動作業)が行われています。

”#しかし未だ開ける必要のないポートが沢山開いている…。
iptablesでファイアウォール設定とかやってないのでしょうね…。
OSやミドルウェアの更新とかも定期的にやらずに放置だったのでしょうね…。”
                  ~フォーラムより

ダイジョブですかね?バリューサーバー。ていうかGMOさん。

第三・四弾の改ざんを確認しました。17:20、18:00
  ”why we hack your server??” 完全に遊ばれてます。
  最新の対応策はフォーラム

  インデックスファイルを再アップロードすることで、復旧したサイトも
  多いようですが、いつ第五弾の攻撃が来るか分かりません。
  サーバ管理側で侵入口となりうるポートを塞ぐなど、現状考えられうる
  対策が施されたとは言え、相手がその気になれば、全面的な書き換えも
  できるのかもしれません。
  基本的なことではありますが、データベースも含め、全てのフォルダ・
  ファイルのバックアップをとっておくことをお勧めします。

  障害情報によると、WordPressの脆弱性をついて、あるユーザーに
  不正なプログラムが設置されていたそうです。
  この該当者一人にだけ原因があったわけではなく、他のユーザーでも
  WordPressの脆弱性がそのままになっているのが発見されたそうです。
  s1サーバ以外でも現在不正プログラムの有無のチェック中とのことで、
  動作実行がなかっただけで、やはり他のサーバも他人事というわけ
  ではなかったんですね。 21日7:00

 ”同攻撃者からの試行が確認できておりますが、再発はしていない”
  とのアナウンスがありました。まだまだ狙われているようです。
  22日2:30

続きを書きました⇒
実は大事件だったバリューサーバー(s1.valueserver.jp)改ざんを
 振り返って思うこと

*****

こちらにも詳しい情報があります。

VALUE SERVER クラッキング、改ざん被害 (s1.valueserver.jpの件)
 対応後も再び改ざん!!
~ ばびぶべぼBlog

(下記の2サイトはVALUE SERVER【s1】上にありアクセスできないときも)

s1.valueserver.jpがクラッキングされファイルが改竄された
 件について(二度目の改竄あり)
~ KUMALOG

クラッキング(ハッキング)被害を受けたサイト管理者がとるべき
 2つの重要な対策
~ Big Bang

♪ 関連記事 ♪

サーバにバックアップファイルを上げるときは最新の日時に... ネットショップ、サイト更新担当のかこです。 先日、htmlファイルが白紙の状態で、いくつかサイトに アップされてしまう、という出来事がありました。 気づいて翌日、私がバックアップファイルで上書きしたのですが、 修正を加えたファイルはすぐ...
Bloggerで不正なソフトウェアを検出したとブロック警告が出る原因はabu-far... つい先日(2013年12月12日)、Blogger に移転したブログ仲間さんの 旧ブログを見に行ったところ、ポップアップでこんな警告文が出て、 ぎょっとしました。(※ブラウザは Google Chrome) "警告: 不正...
Photoshopで画像の白い部分をさくっときれいな白にする方法:トーンカーブ... 友人から、青みがかってしまった、スキャンした書類の白色をフォトショのトーンカーブでさくっと真っ白に補正したいんだけど、どうするんだっけ白抜き?と聞かれて、ちょこっと戸惑ったので、忘れないようにメモしておきます。 ぱぱっとできます。(P...
Windows8ノートPC液晶ディスプレイの色調整に挑戦!... 買ったばかりのノートPCの画面の色が変だったら、どうしよう? 先日買ったノートPC(dynabook/ Windows8 64bit/ Intel Core i3)の ディスプレイを見てみると、鈍感な私でもはっきり青っぽいと感じ、 自分の...
Twitter混雑くじらさん携帯版(ひよこ?)... 平日夜20時ころですかね。 友人と二つ折りガラケー(ガラパゴス携帯)で DM(ダイレクトメール)のやりとりをしてたら、 ツイッターの接続が悪い。 そしたら、今、混雑してますよっていうメッセージとともに、 くじらさんとひよこさん達がで...

コメント

  • VALUE SERVER クラッキング、改ざん被害 (s1.valueserver.jpの件) 対応後も再び改ざん!!

    GMOデジロック(旧デジロック)が運営する共有レンタルサーバー「VALUE SERVER」が、クラッキングされ、Indexページ改ざんという被害が発生しています。 発生日時は2014/1/19 16:40で、01/20 2時~3時頃まで改ざんされたページが表示される状況でした。現状につきましては、公式の障害情報ページにて発表があります。 改ざん内容ですが、ユーザーフォーラム「s1.valueserver.jpへのクラッキングについて」によると(Nullは私です) 「index.*」のファイル内容が書…

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です