Your browser (Internet Explorer 6) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.
X
Post

.htaccess改ざんの件、恐らく完結

.htaccess改ざんの件についての続きです。
原因が特定され、解決しているかと思います。

これまでの記事:
.htaccessの改ざんを受けていた
.htaccess改ざんの件、続き



パシ様のブログにて、CGI版PHPの脆弱性ではないかという指摘が出ていました。

WordPressサイトの.htaccessが改ざんされている件 – 謎のindex.bak.php | WP SEOブログ


この攻撃についての手口は下記のページにて書かれています。

CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823) | 徳丸浩の日記


今日の昼間自分が発見したアクセスログもまさにこれで、
こういうPOSTリクエストがありました。(実際はこれをURLエンコードしていた)

/?-n+-d+disable_functions=%22%22+-d+safe_mode=0+-d+suhosin.simulation=1+-d+open_basedir=none+-d+allow_url_include=1+-d+allow_url_fopen=1+-d+auto_prepend_file=php://input

これは上のページにあるCGI版PHPへの脆弱性攻撃そのままで、
これで.htaccessを上書きされていたようです。

【メンテナンス】PHPセキュリティ対策メンテナンスのお知らせ / メンテナンス情報 / お知らせ – ロリポップ!

攻撃を受けた直後にロリポップの方でセキュリティ対策を施したため、
今はこの脆弱性は残っていないかと思います。
という事で、この件は解決……という事でよいかと思います。


あと、今回被害が大きくなった要因について一つ。

これはCGI版PHP固有の設定か、それともロリポップ固有の設定なのか分からないのですが、
FTPのユーザとPHPの実行ユーザが同じなのが被害を広げたのではないかと思います。

自分が知る限り大抵はFTPユーザとPHPの実行ユーザは
別になっていて(後者はapacheとかwwwとか)、
PHPでファイル操作できるのはあらかじめパーミッション許可した
ファイルやディレクトリに限定されます。
しかし今回は両方のユーザが同じため、PHPのスクリプトで
ほとんどの領域のファイル操作ができるようになっていました。

この2つが別に設定されていて、ファイルパーミッションも適切なら
リモートでスクリプト使われても.htaccessの改ざんには至らなかったはずなので。

TrackBack URL :

  • […] 原因はCGI版PHP脆弱性? .htaccess改ざんの件、恐らく完結 | ZF-Exブログ […]

  • […] 「WordPress サイトの .htaccess が改ざんされている件」について .htaccess改ざんの件、恐らく完結 カテゴリ:スタッフブログ、仕事・ホームページ制作 | タグ: | […]

  • 共有サーバーでPHPの実行ユーザーをwwwとかapacheとかで共有すると
    PHPやCGIから作成したファイルの所有者が同じになってしまい、
    別のユーザーのログファイルをなどを書き換えれてしまう。

    匿名

    2012年5月25日

  • 匿名さん情報ありがとうございます。
    なるほど、共有サーバのセキュリティのためですか。

    これまで共有サーバ使った事なかったから勉強になりました。ありがとうございます。

    straysheep

    2012年5月25日

  • 5/29~6/1の期間において、ロリポップ(チカッパプラン)で改ざんされてしまいました。残念ながら私がホスティングされているサーバーに脆弱性が残っていることになります。

    keyman

    2013年6月3日

  • keymanさん>
    情報ありがとうございます。

    念のため5月下旬にかけて自分のアカウント回りも確認してみましたが、
    こちらでは改ざんは行われておらず、それらしきアクセスログも見当たりませんでした。

    この件はロリポップでは去年一度収束しているので
    同様の手口であればもしかしたらパッチを当てていないサーバがまだ残っているのかもしれません。

    straysheep

    2013年6月3日

  • […] ”improve it!” CGI版のPHPの脆弱性を突いてトラップを仕掛けた事例 ZF-Ex BLOG .htaccess改ざんの件、恐らく完結 お笑いプログラマの技術メモ PHP eval base64_decode […]

Leave a comment  

name

email

website

Submit comment