Your browser (Internet Explorer 6) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.
X
Post

.htaccess改ざんの件、続き

昨日の.htaccess改ざんの件についての続きです。

昨日の記事:
.htaccessの改ざんを受けていた


WordPressサイトの.htaccessが改ざんされている件 – 謎のindex.bak.php | WP SEOブログ

別のところでも同様の報告があがってきているようです。
やはりロリポップ中心で、手口も同じです。

何か手がかりがあればとこちらでアクセスログを調べてみました。
その結果、不審な記録が残っているのを発見しました。

210.157.22.46 - - [15/May/2012:05:22:53 +0900] "POST /.555a4.ico HTTP/1.1" 404 3110 "-" "-"
210.157.22.46 - - [15/May/2012:05:22:53 +0900] "POST /.ef7f6.gif HTTP/1.1" 404 3110 "-" "-"
210.157.22.46 - - [15/May/2012:05:22:53 +0900] "POST /index.bak.php HTTP/1.1" 200 4 "-" "-"

この時刻は例の不審なファイルの生成時刻と同じです。
何らかのスクリプトでファイルを生成し、
その直後にファイルに対してアクセスを行い、
ファイル生成に成功したか確認するという流れのスクリプトなのではないかと思います。


index.bak.phpはサーバ直下でしたが、
icoとgifはblogディレクトリ下にあったため404エラーになってます。
「/blog/.555a4.ico」と「/blog/.ef7f6.gif」にアクセスされていたらヒットしていました。

このIPアドレスはロリポップのものです。
つまり、ロリポップサーバ側でスクリプト実行されているようです。

また、このアクセスの前にWordpressに怪しいアクセスはありませんでした。
WPに何かセキュリティホールがあり、
そこを突くことでファイルをアップロードしている事も疑いましたが、
そのような攻撃ではないように思います。

WPでTimthumbを狙う手口もありますが、
この場合はhttpアクセスのログが残りますが、今回はそれがありませんでした。

何か不正アクセス来てた

以前のこの記事では正にこれの攻撃を受けており、ログも大量に残っていました。
その時とログの生成具合が違うため、別の手口かと思います。


また、5月15日から5月21日までのログを調べてみましたが、
この件に関連したアクセスはこの1回のみで、それ以降はありませんでした。


まとめると、ログを調べてみて分かったのは次のあたりですね。

・どうやらwordpressのセキュリティホールではなさそう
・ロリポップのサーバサイドでスクリプトを実行している。
 恐らくそのスクリプト中で例の怪しいファイルを生成している。
・不審なアクセスは1回のみで、以降は何もしてきていない


この手口が報告されているのはロリポップかチカッパばかりで、
正直なところロリポップのサーバクラックの線が濃いように思います。
とは言えまだ確証もないですし、上のリンク先のブログ記事によれば
すでにロリポップへと報告はいっており、再発したら調査するとの事なので、
今は様子を見るのがベストかもしれません。


5/23 12:45追記:
アクセスログの中に攻撃コマンドらしいもの含むリクエスト見つけた……恐らくこれだ。
これもし本当にホールだったら穴が塞がる前に公開するとまずいレベルなので、
ここでは公開せずにロリポップに連絡しておきます。

何で昨日の時点で見落としたんだ私は……

TrackBack URL :

Leave a comment  

name

email

website

Submit comment