Hacked by Jacko Nexus と 0wnded by Gantengers Crew への対処法【VALUE-SERVER】

2014年1月19日16:40頃、バリューサーバー、s1.valueserver.jpが
クラッキング（ハッキング）されました。

（Hacked by Jacko Nexus）

二度目の書き換えがあったのは、22時過ぎに二回。今度は音楽が流れます。

（0wnded by Gantengers Crew）

今のところ、サイトの閲覧者に悪影響がある改ざんではないようですが、
VALUE-SERVER側で根本的な対処が行われない限り、いつ悪意のあるページに
書き換えられても不思議ではない状態です。

最新の情報や、技術情報の共有は、VALUE-DOMAIN.comのユーザーフォーラム、
s1.valueserver.jpへのクラッキングについて にてお願いします。

1月20日00:50に障害情報も出ていて、サーバ管理側でも脆弱性について
対策中のこと。

サーバ側の対策がされない限り、ファイルを修正しても、また
書き換えられてしまう可能性はありますが、現在の状態だと、
次の対処方法でサイトを修正することができるそうです。

**********************************************

トップディレクトリの
id.htm、in.php、index.php、index.htm、index.htmlを削除（※1）。

元からあったindex.*は改ざんされているので、修正。

WordPressサイトの場合だと、上記5ファイルを削除後、
index.phpを再設置（※2）。
wp-admin/index.phpを修正（wordpressの管理画面に入れない）。

DBは今のところ問題なし。　　（ユーザーフォーラムより抜粋）

**********************************************

【※1】in.phpについて（詳細はフォーラム参照）

in.phpですが、”普通は”白紙ページを返すように見えますが、
特定のパラメータを渡すと悪いことが出来るようになっています。
いつ悪意のあるページに書き換えられてもおかしくありません。
何もしないように見えてもっとも危険。必ず削除を。

【※2】WordPress、index.phpの設置箇所

wordpress.org または ja.wordpress.org からダウンロードした
.zipファイルを解凍し中にあるindex.phpを再設置してください。
英語版と日本語版の違いはありますが、index.phpは一緒です。

解凍して出来たwordpress直下のindex.phpをトップディレクトリに。
wp-adminの中にあるindex.phpをサーバーのwp-admin直下に配置。
２つのindex.phpの中身は違うので間違えないようにしてください。
さらに、wp-admin/user/index.php、wp-admin/network/index.php他、
各テーマ、プラグイン、にもインデックスファイルは存在しますので
設置してください。

（注意点をフォーラムに書き込みのあったTomさんからいただきました。
　ありがとうございました！）

**********************************************

Gantengers Crew というインドネシアのチームが、全世界で
悪さをしているという話です。

もし、自分のお気に入りサイトが改ざんされているのを発見した場合は、
現時点ではサイトを見てしまっても危険は無いので、慌てずに、
運営している方に、お知らせしてあげてくださいね！

【追加情報】

1月20日午前3時現在、s1.valueserver.jp上のサイトには接続が
できない状況になっています。サーバ管理側で対応中のようです。

⇒ サーバ復帰を確認しました。7:00

⇒ 改ざんファイルの削除作業を実施中とのアナウンスあり。11:40

⇒ 「index*」というファイル（改ざんされていた）は、管理側で
　 退避完了・確認中とのアナウンスがありました（ファイル削除）。
　 バックアップ等から、必要なインデックスページのデータを
　 自分でサーバに上げて復旧させてください。12:40

　 データ復旧前は、サイトが403 Forbidden。
　 WordPressであれば管理画面にも入れない状態です。
　 ハッカーに追加されたid.htm、in.phpもフォルダに残っていないか、
　 自分で確認、あれば削除してください。

⇒ id.htm、in.php、index.php、index.htm、index.htmlは、
　 改ざんがあった場合のみ削除されたとのことです。
　 必要ファイルがない場合はアップロードして対処してください。15:40

サーバ管理側では、これで障害対応完了とするようです。
⇒ 14:40～ 他サーバでも緊急メンテナンス（システムアップデート・
　 再起動作業）が行われています。

”#しかし未だ開ける必要のないポートが沢山開いている…。
iptablesでファイアウォール設定とかやってないのでしょうね…。
OSやミドルウェアの更新とかも定期的にやらずに放置だったのでしょうね…。”
　　　　　　　　　　　　　　　　　　～フォーラムより

ダイジョブですかね？バリューサーバー。ていうかGMOさん。

⇒ 第三・四弾の改ざんを確認しました。17:20、18:00
　 ”why we hack your server??” 完全に遊ばれてます。
　 最新の対応策はフォーラムへ

　 インデックスファイルを再アップロードすることで、復旧したサイトも
　 多いようですが、いつ第五弾の攻撃が来るか分かりません。
　 サーバ管理側で侵入口となりうるポートを塞ぐなど、現状考えられうる
　 対策が施されたとは言え、相手がその気になれば、全面的な書き換えも
　 できるのかもしれません。
　 基本的なことではありますが、データベースも含め、全てのフォルダ・
　 ファイルのバックアップをとっておくことをお勧めします。

　 障害情報によると、WordPressの脆弱性をついて、あるユーザーに
　 不正なプログラムが設置されていたそうです。
　 この該当者一人にだけ原因があったわけではなく、他のユーザーでも
　 WordPressの脆弱性がそのままになっているのが発見されたそうです。
　 s1サーバ以外でも現在不正プログラムの有無のチェック中とのことで、
　 動作実行がなかっただけで、やはり他のサーバも他人事というわけ
　 ではなかったんですね。　21日7:00

　”同攻撃者からの試行が確認できておりますが、再発はしていない”
　 とのアナウンスがありました。まだまだ狙われているようです。
　 22日2:30

続きを書きました⇒
◆実は大事件だったバリューサーバー（s1.valueserver.jp）改ざんを
　振り返って思うこと

*****

こちらにも詳しい情報があります。

◆VALUE SERVER クラッキング、改ざん被害 (s1.valueserver.jpの件)
　対応後も再び改ざん！！ ～ ばびぶべぼBlog

（下記の2サイトはVALUE SERVER【s1】上にありアクセスできないときも）

◆s1.valueserver.jpがクラッキングされファイルが改竄された
　件について(二度目の改竄あり) ～ KUMALOG

◆クラッキング（ハッキング）被害を受けたサイト管理者がとるべき
　２つの重要な対策 ～ Big Bang

VALUE-SERVERのs1、1度目の改竄の時は既存のindexのみが書き換わってたけど、2度めは未使用のフォルダにも無差別に「id.htm」「index.htm」「index.html」「in.php」「index.php」が追加されてる。root権限で・・・これはアカン。

— ろひ (@rohi0c7) 2014, 1月 19

この辺りが全滅でしょうか。http://t.co/6cjTAXdg2f

— Neutral8x9eR (@0x009AD6_810) 2014, 1月 19

インドネシアのGantengers Crewというチームのメンバーは最近(本日は特に)海外でもいろいろイタズラしているようですね

— Neutral8x9eR (@0x009AD6_810) 2014, 1月 19

フォーラム http://t.co/jU1ZqP6IPvへのクラッキングについて 情報共有はこちらまで。http://t.co/0vKo7Ryh7I

— Tom (@Tom3suteki) 2014, 1月 19