関係企業のWebサーバーが"TheWayEnd"によって攻撃されてしまいました。
攻撃されたサイトではosCommerceを利用されていたのですが、調べてみるとこのシステムに脆弱性が見つかっているので、この脆弱性を攻撃されたようです。
▽ osCommerce--------------------------------------------------------結局osCommerceのfile_manager.php(アップローダー?)を利用して不正ファイルを設置したようで、"images"ディレクトリ以下に各種ファイルをアップしてそこを拠点にリモート制御で改竄可能なディレクトリ(777)を探しながら「ハックしましたよ!」みたいなメッセージファイルを置いていった模様。
WebベースのEコマースプログラムであるosCommerceは、"ドットドット"を含む細工されたHTTPリクエストをfile_manager.phpスクリプトに送ることで、ディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のファイルを閲覧される可能性がある。
2004/05/19 登録
危険度:中
影響を受けるバージョン:すべてのバージョン
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
ちなみに設置されていたファイル群は以下のようなものでした
2.6.9"TheWayEnd"によるWeb改竄は日本でも今年1月くらいからかなり増えている様子で、osCommerce以外にもWordPressのwp-config.phpファイルを改竄する手法もあるようです。
2.6.9-22
2.6.9.1
2.6.c
Linux-2-6-9 <--ここまでカーネルハック用ツール?
dee.php <--リモートシェル!?
hacked
nec0.php
twe.html <--よく見かける犯行声明ファイル
twe.php
twee.php
独自サーバーでWebサイトを運営している皆さんくれぐれも注意して下さい。
あと、777のパーミッションは極力割り当てないようにしましょう...。
0 件のコメント :
コメントを投稿