レンタルサーバへ不正アクセスをされていたらしい件
少し前につぶやいてましたが、
利用しているレンタルサーバ領域への不正なアクセスがあったことを先日確認しました。気付いた理由ですが、身に覚えの無い奇妙なファイルがサーバ内部にあることを発見したからです。
詳細に調べてみたところ、いくつかのパターン化したファイルとフォルダの構成群
(身に覚えのないphpファイルやhtmlファイルや画像)(以下、不正ファイル群)が、
比較的深い階層にまでまたがり、サーバ内の数箇所に、無作為的かつ機械的に、設置をされたようでした。
不正ファイルの新規追加は認められたものの、
既存ファイルに対する改ざんや破壊行為にについては、調べた限り認められませんでした。
この不正ファイル群ですが、分かりやすいものについては、手動削除をし、
念のためパターンを見極め、サーバ内部に対してソフトウェア検索をし、
さらに見つけたものについてはサーバから全て削除しました。
また、削除前に、これら不正ファイル群をローカルにダウンロードをしたところ
ダウンロードした瞬間にウイルス検知にひっかかるものもあったので、
ウイルスが仕込まれていた模様です。
orz..........
追加されていた不正ファイルに書かれているソースコードも見てみました。
プログラム言語についてそこまで詳しくないため、
読んですべてが分かるわけでは到底ありませんが、
海外ニュースサイトとヒモづいているような内容で、
何か不気味で気持ち悪いものでございました。
削除するまでのあいだ、
知らないうちに何らかの悪い活動をする土台になっていた可能性は否めません。
本件については、利用しているレンタルサーバ(さくらインターネット)に事情を報告し、
詳細を調べていただきました。
するとどうやら、先月10月の接続元をみると、
海外からのアクセスが何百回もあったという事実が発覚いたしました。
orz........
この結果をもって、
FTP接続パスワードが第三者へ漏洩している可能性が高いことが判明しました。
漏洩している場合、原因の可能性として、
・パソコンがウイルスに感染している
・パソコンが紛失、盗難にあった
・推測されやすい簡単なパスワードを設定していた
というアドバイスを受けたのですが、
パソコンにはウイルス対策ソフトを常駐させており、
ウイルス定義の自動更新及び定時スキャンを設定している状態です。
利用しているパソコンはデスクトップ型ですが、
紛失してませんし盗難にもあっていません。
パスワードが、推測されやすいかどうか、これについては正直私にはよく分かりません。
ただ、これまで
長い期間に渡り、パスワードの変更は一度もしていなかった事実はあります。
これらの可能性のなかで、パスワードを推測された可能性が一番疑わしいような気はいたしましたが、
なんともいえないですね。。
また、パスワードについては、現時点では変更済みとなります。
また、不正ファイル設置されたことによる
ブログにアクセスされている方への影響についても申し上げます。
当ブログは、
さくらインターネットの、さくらのブログを利用しておりますが、
今回、不正ファイルを置かれたのは、さくらのレンタルサーバのほうです。さくらのブログは、さくらのレンタルサーバとは別のサーバで稼働しているため、
今回の件により、さくらのブログの運用サーバに不正なデータが設置された事実はありません。ですので閲覧されている皆様のパソコンに
不正ファイル設置により直接何らかの影響を受ける可能性は基本的に無いと思われます。
さくらのブログから、さくらのレンタルサーバのファイルを一部参照してはいますが、
今回、既存ファイルへの破壊や改ざんは認められませんでした。
念のため、それら既存ファイルにおいても
ローカルにダウンロードをし、ウイルス検閲し、問題ないことについては確認いたしました。
不正アクセスを受けた原因について、私個人的にも調べてみたのですが、
比較的最近、cgi版phpの脆弱性をついた攻撃というのがあったことが気になりました。
【脆弱性発表のアナウンスメント】
PHP の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2012/at120016.htmlJVNVU#520827: PHP-CGI の query string の処理に脆弱性
http://jvn.jp/cert/JVNVU520827/【実際に改ざんをうけた事例】
CGI版のPHPの脆弱性を突いてトラップを仕掛けた事例 - ”improve it!”
http://d.hatena.ne.jp/uunfo/20120525/1337968313.htaccessの改ざんを受けていた | ZF-Exブログ
http://www.php-zfex.jp/blog/2012/05/21/htaccess-kaizan/【メモ】.htaccess改ざん事例(.htaccess/png/eval)※追記あり(5/24 8:24a.m.) | バカに毛が生えたブログ
http://www.baka-ke.com/2012/05/16/htaccess-kaizan-png-eval/cgi版phpであること、phpのバージョン、という2点においては
私の環境はこの脆弱性の影響を受ける環境に一致しているように思いました。
サーバ内部にファイルの設置をされていた、という被害事例も似た部分があるように思います。
もしやこれなのでは。。。
http://www.jpcert.or.jp/at/2012/at120016.htmlPHP Group によると、末尾に「?-s」(ソースコードを表示させるオプション)
を付与した URL を Web ブラウザで閲覧した際に、ソースコードが表示された
場合は、本脆弱性の対象になるとのことです。
(確認方法の例)
http://example.com/index.php?-s
とのことですということで、これを試してみたのですが、
ソースコードは表示されませんでした。
あれ、これじゃないのかな。。。うーん。
長々と書きましたが結局のところ、
不正ログインをされるようになった原因、時期や経緯に至るまで、
正確なところは未知です。
レンタルサーバを借りてもう長いですが、
これまでにこうした目に見えた被害にあったことは恐らく初めてです。
セキュリティに対する危機感が全くなかったので、今回の件は勉強になりました。。
さくらインターネットでは、
コントロールパネル -> ログイン履歴より、
一定期間のログイン情報を参照できます。
IPアドレスが表示されますが、
このIPアドレスを、以下ページなどで調べることにより
ドメイン/IPアドレス【whois情報検索】
http://www.cman.jp/network/support/ip.html接続元の国を割り出すことができるので、
定期的に参照して不正ログインされていないかを
見ることも重要かもしれませんね。
やられてしまったことは、もう仕方が無いことですが
フィッシングや不正アクセスなど色々ネット犯罪が多発している世の中です。
皆様もお気をつけくださいませ。。
サーバを利用されている方が、不正なアクセスから身を守るには、
こちらも参考になるかもしれませんね。
その他の便利な使い方|さくらのレンタルサーバ|さくらインターネット公式サポートサイト
http://support.sakura.ad.jp/manual/rs/others/長くなりましたが、ご報告は以上です。
ご迷惑をおかけいたしました。
テスト環境:さくらインターネット、さくらのレンタルサーバ
