トップ   >   カテゴリ表示:security セキュリティ

レンタルサーバへ不正アクセスをされて

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/59943854.html

レンタルサーバへ不正アクセスをされていたらしい件

少し前につぶやいてましたが、
利用しているレンタルサーバ領域への不正なアクセスがあったことを先日確認しました。
気付いた理由ですが、身に覚えの無い奇妙なファイルがサーバ内部にあることを発見したからです。

詳細に調べてみたところ、いくつかのパターン化したファイルとフォルダの構成群
(身に覚えのないphpファイルやhtmlファイルや画像)(以下、不正ファイル群)が、
比較的深い階層にまでまたがり、サーバ内の数箇所に、無作為的かつ機械的に、設置をされたようでした。

不正ファイルの新規追加は認められたものの、
既存ファイルに対する改ざんや破壊行為にについては、調べた限り認められませんでした。

この不正ファイル群ですが、分かりやすいものについては、手動削除をし、
念のためパターンを見極め、サーバ内部に対してソフトウェア検索をし、
さらに見つけたものについてはサーバから全て削除しました。

また、削除前に、これら不正ファイル群をローカルにダウンロードをしたところ
ダウンロードした瞬間にウイルス検知にひっかかるものもあったので、
ウイルスが仕込まれていた模様です。

orz..........

追加されていた不正ファイルに書かれているソースコードも見てみました。

プログラム言語についてそこまで詳しくないため、
読んですべてが分かるわけでは到底ありませんが、
海外ニュースサイトとヒモづいているような内容で、
何か不気味で気持ち悪いものでございました。

削除するまでのあいだ、
知らないうちに何らかの悪い活動をする土台になっていた可能性は否めません。


本件については、利用しているレンタルサーバ(さくらインターネット)に事情を報告し、
詳細を調べていただきました。

するとどうやら、先月10月の接続元をみると、
海外からのアクセスが何百回もあったという事実が発覚いたしました。

orz........

この結果をもって、
FTP接続パスワードが第三者へ漏洩している可能性が高いことが判明しました。

漏洩している場合、原因の可能性として、

・パソコンがウイルスに感染している
・パソコンが紛失、盗難にあった
・推測されやすい簡単なパスワードを設定していた

というアドバイスを受けたのですが、

パソコンにはウイルス対策ソフトを常駐させており、
ウイルス定義の自動更新及び定時スキャンを設定している状態です。

利用しているパソコンはデスクトップ型ですが、
紛失してませんし盗難にもあっていません。

パスワードが、推測されやすいかどうか、これについては正直私にはよく分かりません。
ただ、これまで長い期間に渡り、パスワードの変更は一度もしていなかった事実はあります。

これらの可能性のなかで、パスワードを推測された可能性が一番疑わしいような気はいたしましたが、
なんともいえないですね。。
また、パスワードについては、現時点では変更済みとなります。


また、不正ファイル設置されたことによる
ブログにアクセスされている方への影響についても申し上げます。


当ブログは、さくらインターネットの、さくらのブログを利用しておりますが、
今回、不正ファイルを置かれたのは、さくらのレンタルサーバのほうです。

さくらのブログは、さくらのレンタルサーバとは別のサーバで稼働しているため、
今回の件により、さくらのブログの運用サーバに不正なデータが設置された事実はありません。


ですので閲覧されている皆様のパソコンに
不正ファイル設置により直接何らかの影響を受ける可能性は基本的に無いと思われます。

さくらのブログから、さくらのレンタルサーバのファイルを一部参照してはいますが、
今回、既存ファイルへの破壊や改ざんは認められませんでした。

念のため、それら既存ファイルにおいても
ローカルにダウンロードをし、ウイルス検閲し、問題ないことについては確認いたしました。


不正アクセスを受けた原因について、私個人的にも調べてみたのですが、
比較的最近、cgi版phpの脆弱性をついた攻撃というのがあったことが気になりました。

【脆弱性発表のアナウンスメント】
PHP の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2012/at120016.html
JVNVU#520827: PHP-CGI の query string の処理に脆弱性
http://jvn.jp/cert/JVNVU520827/

【実際に改ざんをうけた事例】
CGI版のPHPの脆弱性を突いてトラップを仕掛けた事例 - ”improve it!”
http://d.hatena.ne.jp/uunfo/20120525/1337968313
.htaccessの改ざんを受けていた | ZF-Exブログ
http://www.php-zfex.jp/blog/2012/05/21/htaccess-kaizan/
【メモ】.htaccess改ざん事例(.htaccess/png/eval)※追記あり(5/24 8:24a.m.) | バカに毛が生えたブログ
http://www.baka-ke.com/2012/05/16/htaccess-kaizan-png-eval/

cgi版phpであること、phpのバージョン、という2点においては
私の環境はこの脆弱性の影響を受ける環境に一致しているように思いました。
サーバ内部にファイルの設置をされていた、という被害事例も似た部分があるように思います。

もしやこれなのでは。。。

http://www.jpcert.or.jp/at/2012/at120016.html
PHP Group によると、末尾に「?-s」(ソースコードを表示させるオプション)
を付与した URL を Web ブラウザで閲覧した際に、ソースコードが表示された
場合は、本脆弱性の対象になるとのことです。

(確認方法の例)
http://example.com/index.php?-s
とのことですということで、これを試してみたのですが、
ソースコードは表示されませんでした。

あれ、これじゃないのかな。。。うーん。


長々と書きましたが結局のところ、
不正ログインをされるようになった原因、時期や経緯に至るまで、
正確なところは未知です。

レンタルサーバを借りてもう長いですが、
これまでにこうした目に見えた被害にあったことは恐らく初めてです。
セキュリティに対する危機感が全くなかったので、今回の件は勉強になりました。。


さくらインターネットでは、
コントロールパネル -> ログイン履歴より、
一定期間のログイン情報を参照できます。

IPアドレスが表示されますが、
このIPアドレスを、以下ページなどで調べることにより

ドメイン/IPアドレス【whois情報検索】
http://www.cman.jp/network/support/ip.html

接続元の国を割り出すことができるので、
定期的に参照して不正ログインされていないかを
見ることも重要かもしれませんね。


やられてしまったことは、もう仕方が無いことですが
フィッシングや不正アクセスなど色々ネット犯罪が多発している世の中です。
皆様もお気をつけくださいませ。。

サーバを利用されている方が、不正なアクセスから身を守るには、
こちらも参考になるかもしれませんね。

その他の便利な使い方|さくらのレンタルサーバ|さくらインターネット公式サポートサイト
http://support.sakura.ad.jp/manual/rs/others/

長くなりましたが、ご報告は以上です。
ご迷惑をおかけいたしました。


テスト環境:さくらインターネット、さくらのレンタルサーバ

YahooIDパスワードが大量流出して不正ログインが発生している件について

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/45344361.html

YahooIDパスワードが大量流出して不正ログインが発生している件について
http://hamusoku.com/archives/4796011.html
Yahooにログインしてここ見ろ!他のIPからアクセスされてたら
https://lh.login.yahoo.co.jp/
すぐにパスワードを変更しろ。
http://help.yahoo.co.jp/help/jp/edit/edit-13.html
というわけで、みてみましたが、
私は不正アクセスありませんでした。
みなさまも念のため調べてみてくださいませ。

JavaScriptによる、メールフォーム向け

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/41702010.html

JavaScriptによる、メールフォーム向け機械的スパム投稿への対策(効果あり)

表題の件ですが、以前別の方法(非js)で、スパム対策を施していたのですが
あまり効果は上がらず、困っておりました。
そこで今回試したのはjavascriptによるもの。

あまりjavascriptは使いたくなかったのですが、
最近はjavascriptが比較的多用されていることもあり、
いいだろう。。。と自分に言い聞かせて。。

JavaScript でスパム投稿対策 << PHPで翻訳三昧
http://beatnik.jp/blog/archives/184

上記の方法、試してみました。
inputのaction(コメント投稿時の遷移先)に、
始めはダミーが書かれてあり、投稿と同時に正式のものに
書き換えるという仕組みなんですね。
単純ながら素晴らしい発想と思います。
とくに単純な仕組みで、効果はバツグンだ!なら言う事ないですしね。

というわけで実装し、しばらく運用してみました。
その結果は。。
効果はバツグンだ!
でした。

1週間くらいですが、施策前は毎日パラパラきていたのが
今は1通もスパム投稿こなくなりました。
本当に素晴らしいです。

javascriptを切った状態だと当然投稿できなくなるわけなので
PCの場合はjavascriptを有効にしてもらうしか手立てはないのですが
モバイルの場合、困ります。

そんな場合は簡易的ですがユーザーエージェントなどで切り替え
モバイルの場合はスパム対策しない、などしてあげればどうでしょうかね。
まぁスパムロボットに偽装されてきたら通れてしまい、
元も子もないのですが、今のところ、
そんなかんじでもスパムは来ないですね。

にしても、この方法は現段階では
効果はバツグンなので、オススメできます。
あまりオススメしちゃうとスパム側もまた何かしら
考えてくるのかしら。。


以下、技術的メモ(2011年01月02日追記)

●htmlヘッド内
<script type="text/javascript">
function validateForm()
{
// フォームの送信先を正規のURLに変えます。
$('postForm').action = 'ここに正規url';
return true;
}
</script>


●フォーム部分(例
<form id="postForm" method="post" action="dmypost" onSubmit="return validateForm()" target="_self">

無料アンチウイルス「アバスト!」

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/37177344.html

無料アンチウイルス「アバスト!」
http://www.avast.com/ja-jp/free-antivirus-download
AVG free 9.0から乗り換えてみました。
理由は、若干、挙動が不安定になったからです。

総務省・経済産業省連携 ボット対策プロジェクト サイバークリーンセンター Cyber Clean Center

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/34902178.html

総務省・経済産業省連携 ボット対策プロジェクト サイバークリーンセンター Cyber Clean Center
https://www.ccc.go.jp/index.html

以下を一読され、対策されるのがおすすめです。

サイバークリーンセンター(CCC)|ホームページからの感染を防ぐために
https://www.ccc.go.jp/detail/web/index.html

不正に改ざんされたWebサイトをリアルタイムに解析する個人向け無料Webセキュリティサービス「gred」

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/34637627.html

不正に改ざんされたWebサイトをリアルタイムに解析する個人向け無料Webセキュリティサービス「gred」
http://www.gred.jp/

使い方 how to use?
http://www.gred.jp/helpPage.htm

...当ブログもチェックにかけましたが
安全でしたので、どうぞご心配なく閲覧くださいませ。

やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/31578464.html

やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
http://takagi-hiromitsu.jp/diary/20090802.html#p01
ななめ読みさせていただきました。。。
脆弱性とはこういうことをいうのですね。勉強になりました。

ウイルスセキュリティゼロを、またまたアンインストールした理由。

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/25909523.html

ウイルスセキュリティゼロを、またまたアンインストールした理由。

融通が利かなくて、堪らなくて。
もう、できるだけ買わないことにします。
安いからといって、買わないこと。φ(´д`o)
関連する記事(広告含む)
2