自分の所には来ないだろう、というのは間違いだったわけで。
110chang.com
ログ
2012.05.21
- ウクライナ?のIPからバックドア「FilesMan」を設置される
2012.05.23
- ウクライナ?のIPからバックドア「FilesMan」を設置される
2012.05.24
- FTPによりバックドアの存在に気づき削除
- バックドア削除後もウクライナのIPからアクセスがあるが削除したので403
どのような脆弱性から不正アクセスを行ったか不明、脆弱性があると話題のtimthumb.phpはなし(Timthumb Vulnerability Scannerプラグインを使用して確認)。
ファイルはいずれもmt(ランダム英数)n.phpでルートやwpディレクトリなど至る所に生成。元からあるindex.phpの先頭に、特定のクエリを付けてアクセスするとサーバーの情報が表示されるコード?を埋め込まれる。
ヘテムルのインフォメーションに同様の事例の注意喚起あり。バックドア設置日時がブログ更新と符合しているのが気になる
対処:
- 該当ファイル削除、改ざんされたファイルを修正
- Wordpressは最新版だったはずだが記憶があいまい
- WordpressとFTPのログインパスワードを変更
- .htaccessのパーミッションを604に
- .ftpaccess設置
とあるサイト
- サーバー:ロリポップ
- CMS:Wordpress
ログ
2012.05.11
- ドイツ?のIPから-dオプション使ったアクセス(GW以降話題になったCGI版PHPの脆弱性)
- 設置サーバーのIPでindex.bak.phpとJPG画像を装ったphpファイルが設置される。内容はどちらも同じ
2012.05.25
- FTPにより不正なファイルの存在に気づき削除
- .htaccessが改変されていた(上記の画像ファイルをphpとして実行できるようになっていた)
5.11以降、該当ファイルにアクセスの形跡無し。脆弱性があると話題のtimthumb.phpはなし。下記の「WordPressサイトの.htaccessが改ざんされている件」、「【メモ】.htaccess改ざん事例(.htaccess/png/eval)※追記あり(5/24 8:24a.m.)」と同じ事例
対処:
- 該当ファイル削除、改ざんされたファイルを修正
- Wordpressを最新版にする
- WordpressとFTPのログインパスワードを変更
- ロリポップ側の対処は5/16に完了した模様
参考
- レンタルサーバー heteml より、セキュリティに関する重要なお知らせです ( 2012/05/22 更新 )
- Backdoor: PHP:Filesman:02
- WordPressサイトの.htaccessが改ざんされている件
- 【メモ】.htaccess改ざん事例(.htaccess/png/eval)※追記あり(5/24 8:24a.m.)
ペパボ系のサーバー使ってたり、Wordpress使ってる人は一度FTP確認したほうがいいです。しばらくは毎日ログを確認しようと思います。