1.スーパーハカーちょっと来い[web制作]
(2009-04-14 21:27:08)


割と情報提供を求めるための情報。web屋としては恥ずべき話なんですが、管理しているとあるサイトが何者かに改竄されてしまいました。凹んでます。あんまり詳しく書くワケにも行かないのですが、web上で同様の被害例を見るに、どうやら最近軽く流行りだした手口っぽくて、共通項としてはCakePHPで構築されたサイト或いは同じサーバーにCakePHPで構築されたサイトが入っている所がやられている点が特徴として挙げられます。

そして、FTP経由で正面から正々堂々とログインしてきて機械的にファイルのダウンロード⇒改竄⇒アップロードを行うっぽいです。

具体的には、まずconfi*.phpや*/app/config/database.phpといったコンフィグ系のファイルのアタマに

で始まるちょいと長めのスクリプトが差し込まれます。

次に、*.jsファイルのほぼ全てのオシリに

という、なにやら怪しい実行文が追加されます。

更に、.htmlやら.htmやら.cfmやら、静的なファイルの大半にも、<body>タグ開始直前に

という、上記と同様の呪文が追加されます。手の込んだこって...。

これらが組み合わされて生成されたページを見るとどうなるかというと、知らない間に全然関係の無いサイトに、割と気付かないウチに接続されてウイルスをゲットしてくるという、どうしようもなく陰湿なトラップに掛かってしまう場合があるようです。もっとも、ウイルス防御ソフトでほぼ問題なく防げるようですし、害のサイトは早々に駆逐されたようです。またDBからごっそりデータを持って行かれたような形跡も、今の所無いので幸いにも大きな問題には発展しておりません。

さて、問題は外から弄られただけならまだマシだったのですが、FTPのパスワードを変更しても即、同じように真正面からログインして来やがったんですな、これが。とりあえず人為的な漏洩じゃ無いことは判ったので、シャットアウトしてお帰りいただき、次の可能性を探らねば。...サーバーの中にワームでも仕込まれた可能性が大ですな、これは。死ねばいいのに。

現時点での材料では、CakePHPに脆弱性があるんでは無かろうかと疑ってしまっておるわけですが、この件については引き続き調査し、新しいことが分かり次第お伝えできればと思います。

1/419

コメント(3)
次の記事へ >
一覧へ戻る

Powered by
MT4i 3.0b3