http://lhsp.s206.xrea.com/misc/htaccess-redirect-hack.html
メガネハウスのサーチエンジン下においてインデックスをクリックするとピルのサイトへ飛ばされる改ざんトラブル
サーバー内に.htaccessが不正に設置されていてそれによってリダイレクトされていた。タイムスタンプみたら2014.3.11の朝5:05にアップされていた。
不正アクセスの情報漏れの原因を考えると、僕のPCやノートパソコンから情報がウィルス感染でもれたかもと思いチエッカーかけてみたがどちらも白。次に考えられるのがブログをメガネハウスで更新しているがそのPCが感染している疑い。そしてwordpressのバージョンが古いのでセキュリティーを突破された疑いがある。
●以下 nttpcからの回答
吉田さま
平素はWebARENA SuiteXをご利用くださいまして
誠にありがとうございます。
テクニカルサポートセンター担当の山本と申します。
ご回答が遅くなりまして申し訳ございません。
お客さまのサーバーを確認させていただきましたところ、
下記のような不審なファイルが設置されていたため、弊社
にて、パーミッションを停止させていただきました。
/home/megane/wp-content/themes/megane/stylered.php
上記のようなファイルを利用し、.htaccessの不正な設置など
が行われていた可能性がございます。
また、上記以外にも、下記のファイルを含め、不審なファイルが
存在している可能性がございますので、お客さまにてご確認の
うえ、削除や退避などをご実施くださいますようお願い申し上げます。
/home/megane/wp-content/uploads/2013/pollkkng.php
/home/ll/login5Pt.php
※念のため、すべてのコンテンツをご確認ください。
なお、同様の不正な操作を防ぐため、下記についてもご実施を
ご検討ください。
・ご利用のクライアントPCのウィルスチェック
・ワードプレスを含むCMSのテーマやプラグインに脆弱性が
ないかを確認し、あれば最新のものに更新する
・.htaccessや.ftpaccessにより接続元の制限を行う
※「.htaccess 国内 制限」などで検索されますと参考に
なる情報が見つかるかと存じます。
国内制限したら海外から見れなくなったとクレーム来たのでダメ!!
・すべてのアカウントのパスワードを推測しにくい複雑な
文字列に変更する
ご不明な点がございましたら、お気軽にお申し付けください。
今後とも本サービスをどうぞよろしくお願い申し上げます。
※個人情報保護のため、弊社からの返信にあたりましては
お客さまからの情報を一部伏せさせていただくことがございます。
あらかじめご了承ください。
※お客さまのお問い合わせに円滑にご対応させていただく為に
システム上、件名にIDが付与されます。
ご返信の際は、削除されないようお願いいたします。
********* お客さまの声をお聞かせください。 **********
今後のサポートおよびサービス品質向上のため、
簡単なアンケート(5分程度)に御協力をお願いいたします。
アンケートサイトURL : https://survey.arena.ne.jp/49114/ ____________________________________________________________________
[ WebARENA テクニカルサポートセンター ]
サポート時間 : 9:30~18:00(土日祝日、年末年始を除く)
電子メール : suitex-tec@arena.ne.jp
フリーダイヤル: 0120-72-5861
サポートサイト: http://web.arena.ne.jp/support/
ホームページ : http://web.arena.ne.jp/suitex/index.html
よくあるご質問: http://faq.nttpc.co.jp/?site_domain=suitex
____________________________________________________________________
>
ご担当者さま
>
> 平素はWebARENA SuiteXをご利用くださいまして誠にありがとうございます。
> 技術サポート担当の竹林と申します。
>
> お客さまご利用サーバ「111.89.133.106」が所属するdc35.etius.jp
> におきまして、設置されている以下の.phpファイルに対して
> 断続的に海外からのアクセスがあることを確認いたしました。
>
> /home/megane/wp-content/upgrade/pollJqyn.php
> /home/image/inquiry/_notes/sitemapgfp.php
>
> 調査いたしましたところ、上記プログラムから大量のメールを配送しており、
> サーバに高負荷状態を引き起こしている事が確認されましたため、弊社にて
> 上記ファイルおよび関連ファイルのパーミッションを変更させていただきました。
>
> ご面倒をお掛けいたしますが、上記ファイルを含めてご契約サーバー内の
> ファイルをご確認の上、お心当たりのないファイルが設置されていないかを
> ご確認くださいますようお願い申し上げます。
>
> お心当たりのないファイルが設置されていた場合は、バックドアプログラムなどの
> 不正なプログラムを設置されている可能性が考えられますため、以下のご対応を
> ご検討くださいますようお願い申し上げます。
>
> ・ご契約サーバー内のWebコンテンツなどのデータをローカルPCなどに
> 退避させた後、サーバー内のデータをすべて削除します。
> ・ご契約サーバーに接続する可能性のあるPC端末および周辺のPC端末に
> おいて、ウイルスチェックやセキュリティパッチの適用などの
> セキュリティ対策を行います。
> ・ご契約サーバー内に登録されているアカウントのパスワードを
> 解析しにくい難しいものに変更します。
> (メールアカウントのパスワードを変更した場合は、対応する
> メールソフト設定もご変更ください)
> ・ご契約サーバーに、書き換えなどが行われていないファイルのみを
> アップロードします。
> ・アップロードしたファイルのうち、WordPressやお問い合わせフォーム
> などのプログラムについては、必要に応じてセキュリティパッチの
> 適用された最新バージョンにアップデートします。
>
> これからも快適なサービスの提供に努めてまいりますので、お客さまに
> おかれましても、ご協力のほどよろしくお願いいたします。
>
> 以上、取り急ぎご連絡させていただきます。
>
> ※お客さまのお問い合わせに円滑にご対応させていただく為に
> システム上、件名にIDが付与されます。
> ご返信の際は、削除されないようお願いいたします。
> メガネハウス様のホームページ管理をしています吉田と申します。昨日3/11にドメイ
> ンへアクセスすると別の海外サイトへリダイレクトするようになりました。サーバー
> をみたら見知らぬ.htaccessがhome下にありタイムスタンプをみたらこれが昨日未明
> に設置されていました。削除すると正常に表示されましたが、昨日の夜再び見知らぬ
> .htaccessが再度設置されて同じ海外サイトへリダイレクトされてしまっています。(
> IEとsafari win版 androidでの表示が変です。)どうしたらよろしいでしょうか。現
> 在行った作業としては昨日以前までwordpress2.8.4だったものをセキュリティーを上
> げるために3.8.1へバージョンアップしてwordpress管理者のパスワードも変更いたし
> ました。ちなみにメガネハウス様のホームページの構成はトップページなどの静的ペ
> ージはhtmlで造り、ブログはwordpressによってつくっているサイトとなります。よ
> ろしくお願いします。
>
※サーバー内に不審なディレクトリとファイルが設置されていたのでそれも削除した。image/○○/_nots の中にも不審ファイルあるので削除 変な.htacessも削除。海外からのアクセス禁止の.htaccessを設置
ホームページの改ざん被害が起こる主な原因は下のようなものでしょうか。従来は3番がトレンドでしたが、2009年以降は特に運営者のパソコンがウイルスに感染したことによる原因が多い感じです。 (--;
- 管理者のWindowsパソコンがウイルス感染 → FTP接続の転送情報の盗聴
⇒ 暗号化しないで素のままデータを送受信するFTP接続をなるべく避け、SFTP接続やFTPS接続を利用
《FFFTPはFTP接続のみ、FileZillaやWinSCPは対応》
- 管理者のWindowsパソコンがウイルス感染 → 保存されてるFTPソフトの設定データの搾取
⇒ 設定データを暗号化して保存し、マスターパスワード機能をサポートするFTPソフトを利用
《FFFTPやWinSCPはマスターパスワード機能あり》
- サーバーにアップロードしているWebアプリケーションの脆弱性から侵入を許す
⇒ 管理者のOSの種類関係なし、セキュリティ情報に注意し常に最新版のWebアプリケーションを導入
《WordPress、Joomla!、Movable Typeなどで運用するサーバーのハッキング》
☆ 対処後 → 漏れた可能性があるパスワードの変更、サイト更新が可能なIPアドレスの制限
■ 一般的なウイルス対策 (Windowsユーザー)
ウイルス感染の確率を下げるには「セキュリティソフト・ウイルス対策ソフトの導入」と、やってない人も少なからず存在する「ドライブバイ・ダウンロード対策」の2点。あとは細かいところで、「ファイルの拡張子を表示する」、(Windows XP/Vista限定で)「USBメモリの自動実行の無効化」。
●その後の問題 CGIフォームが動かなくなった
mailformproを設置したのだがGateway Timeout になる。他の共有すsuiteXでは同じ条件のCGIが動いているのでサポートへ連絡。不正なファイルが設置されていたということで、一旦すべてのファイルを削除してとの指示にしたがい全ファイルデリートして再設置するもやはり動かない。サポートで再び調査するとwebサーバーのプロセスが滞留していることが判明。原因は不明だがバックドアが原因と思われる。サポート側で滞留を終了する措置とってもらったら治った。