2010年3月30日火曜日

Webサイト改竄

 今日は一日振り回されました。(ToT)

 関係企業のWebサーバーが"TheWayEnd"によって攻撃されてしまいました。

 攻撃されたサイトではosCommerceを利用されていたのですが、調べてみるとこのシステムに脆弱性が見つかっているので、この脆弱性を攻撃されたようです。
▽ osCommerce--------------------------------------------------------
 WebベースのEコマースプログラムであるosCommerceは、"ドットドット"を含む細工されたHTTPリクエストをfile_manager.phpスクリプトに送ることで、ディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のファイルを閲覧される可能性がある。
 2004/05/19 登録

 危険度:中
 影響を受けるバージョン:すべてのバージョン
 影響を受ける環境:UNIX、Linux、Windows
 回避策:公表されていません
 結局osCommerceのfile_manager.php(アップローダー?)を利用して不正ファイルを設置したようで、"images"ディレクトリ以下に各種ファイルをアップしてそこを拠点にリモート制御で改竄可能なディレクトリ(777)を探しながら「ハックしましたよ!」みたいなメッセージファイルを置いていった模様。

ちなみに設置されていたファイル群は以下のようなものでした
2.6.9
2.6.9-22
2.6.9.1
2.6.c
Linux-2-6-9 <--ここまでカーネルハック用ツール? 
dee.php <--リモートシェル!? 
hacked
nec0.php
twe.html <--よく見かける犯行声明ファイル 
twe.php
twee.php
 "TheWayEnd"によるWeb改竄は日本でも今年1月くらいからかなり増えている様子で、osCommerce以外にもWordPressのwp-config.phpファイルを改竄する手法もあるようです。
 独自サーバーでWebサイトを運営している皆さんくれぐれも注意して下さい。

あと、777のパーミッションは極力割り当てないようにしましょう...。

0 件のコメント :

コメントを投稿