自分の所には来ないだろう、というのは間違いだったわけで。

110chang.com

ログ

2012.05.21

2012.05.23

2012.05.24

どのような脆弱性から不正アクセスを行ったか不明、脆弱性があると話題のtimthumb.phpはなし(Timthumb Vulnerability Scannerプラグインを使用して確認)。

ファイルはいずれもmt(ランダム英数)n.phpでルートやwpディレクトリなど至る所に生成。元からあるindex.phpの先頭に、特定のクエリを付けてアクセスするとサーバーの情報が表示されるコード?を埋め込まれる。

ヘテムルのインフォメーションに同様の事例の注意喚起あり。バックドア設置日時がブログ更新と符合しているのが気になる

対処:

とあるサイト

ログ

2012.05.11

2012.05.25

5.11以降、該当ファイルにアクセスの形跡無し。脆弱性があると話題のtimthumb.phpはなし。下記の「WordPressサイトの.htaccessが改ざんされている件」、「【メモ】.htaccess改ざん事例(.htaccess/png/eval)※追記あり(5/24 8:24a.m.)」と同じ事例

対処:

参考

ペパボ系のサーバー使ってたり、Wordpress使ってる人は一度FTP確認したほうがいいです。しばらくは毎日ログを確認しようと思います。