-----
Linux version 2.6.18-028stab056
MODX:1.0.5J-r4
PHPの:5.2.17
mysql Ver 14.12 Distrib 5.0.90,
-----
サーバにスパムのプログラムが仕掛けられ、原因がわからず新サーバに引っ越しすることになりました。
そこで新しいサーバに引越する方法をお教え下さい。
様々なファイルをコピーして持って行くとウイルスまで持ち込んでしまうので
最新のMODxをインストールしてDBをインクルードしようと思いますが、
それだけでいいのでしょうか?
それと、古いサイトを調べてみるとapache:apacheで動くt/site/config/code62.phpというファイルと、
/assets/flash/.config48.phpという不可視ファイルが見つかりました。
スパムに侵された原因も知りたいのですが、
ご教授いただけると幸いです。
サイトにスパムのプログラムが仕掛けられました
Re: サイトにスパムのプログラムが仕掛けられました
逆の順番で行なってください。先にDBをインクルードし、元のconfig.inc.phpをサーバ上に置き、あとは通常のアップデート手順です。rishii さんが書きました:-----
最新のMODxをインストールしてDBをインクルードしようと思いますが、
Re: サイトにスパムのプログラムが仕掛けられました
やり方の手順をお教え下さい。yama さんが書きました:逆の順番で行なってください。先にDBをインクルードし、元のconfig.inc.phpをサーバ上に置き、あとは通常のアップデート手順です。
新サーバにMODxの新しいバージョンのファイルを置く。
phpMyAdminでDBをインクルードさせる、
元のconfig.inc.phpをサーバに置き(DB・ユーザ・Passを書き換え)、
通常のアップデートをする
上記の手順でいいでしょうか?すみませんご確認をお願いします。
Re: サイトにスパムのプログラムが仕掛けられました
その手順で大丈夫と思います
Re: サイトにスパムのプログラムが仕掛けられました
経過報告です。
上記のように行っています。
新サーバのDBやユーザ名は過去とまったく同じにしています。
DBと過去のconfig.inc.phpをいれこみサイトトップにアクセスすると真っ白で何も反応がありません。
このconfig.inc.phpを削除するとうまくインストール画面になりますが、
いれこんで、ゴニョゴニョやっていたらhttp://site/install/に直にアクセスするとアップデート画面にいきました。
大まかなパーミッションの変更を行うことでインストールは完了しました。
しかし、
トップページにアクセスすると
simplepie not found と出てしまいます。
これはグローバルとか何かの設定間違いなのでしょうか?
それとももう一度、行って見たほうがいいでしょうか?
上記のように行っています。
新サーバのDBやユーザ名は過去とまったく同じにしています。
DBと過去のconfig.inc.phpをいれこみサイトトップにアクセスすると真っ白で何も反応がありません。
このconfig.inc.phpを削除するとうまくインストール画面になりますが、
いれこんで、ゴニョゴニョやっていたらhttp://site/install/に直にアクセスするとアップデート画面にいきました。
大まかなパーミッションの変更を行うことでインストールは完了しました。
しかし、
トップページにアクセスすると
simplepie not found と出てしまいます。
これはグローバルとか何かの設定間違いなのでしょうか?
それとももう一度、行って見たほうがいいでしょうか?
MODxの脆弱性による改ざん
なかなかサイトの引越に手間取っております。
旧サーバのサイトにトロイの木馬が仕掛けられたのは、
調べた結果MODxの脆弱性による改ざんという事がわかりました。
それはVPSサーバ内では様々なCMSが動いています。
WordPressやEC-CUBEとMODxでした。
今回、様々なファイルを調べた結果、WPやEC-CUBEにはおかしなプログラムは見つからず、
3サイトMODxで構築したものの中に奇妙な不可視ファイルがたくさん生成されていました。
決定的だったのは下記のファイルです。
知らないプログラムファイルが作られていました。
/assets/snippets/ditto/snippet.ditto2.php
/cache/snippet.ditto2.php
これはAjaxSearchの脆弱性を狙ってバックドアが仕込まれたという証拠だったということです。
唖然として何も言えなくなりましたがFreeなCMSをつかう限りこのような危険にさらされています。
このコトにより、新しいサーバへ引越を余儀なくされました。
ただし、いくらFreeCMSでも脆弱性の危険をもっとサイトで告知する必要があると思います。
仕掛けられたのはタイムスタンプをみると2014年の7月です。
その時期にAjaxSearchの脆弱性を狙った攻撃が各所で報道されていました。
しかしMODx自体はどうだったのでしょうか?
かれこれ2週間、様々調べてようやく分かった次第です。
誰もそのことは教えてくれませんでした。
この表題にもあるようにサイトにスパムが仕掛けられたという題名を出しても、
そのような脆弱性についての説明はされませんでした。
とても悲しくなりましたが、
サイトを管理する業務においては安全が最優先されます。
一応みなさんへの報告を兼ねて書き込みさせていただきました。
古いMODxを運営してる方がいらっしゃいましたら、
拡散くださいませ。
また、アップデートがうまくいかない為、
新しいスレッドを建てさせていただきます。
よろしくサポートをお願いします。
旧サーバのサイトにトロイの木馬が仕掛けられたのは、
調べた結果MODxの脆弱性による改ざんという事がわかりました。
それはVPSサーバ内では様々なCMSが動いています。
WordPressやEC-CUBEとMODxでした。
今回、様々なファイルを調べた結果、WPやEC-CUBEにはおかしなプログラムは見つからず、
3サイトMODxで構築したものの中に奇妙な不可視ファイルがたくさん生成されていました。
決定的だったのは下記のファイルです。
知らないプログラムファイルが作られていました。
/assets/snippets/ditto/snippet.ditto2.php
/cache/snippet.ditto2.php
これはAjaxSearchの脆弱性を狙ってバックドアが仕込まれたという証拠だったということです。
唖然として何も言えなくなりましたがFreeなCMSをつかう限りこのような危険にさらされています。
このコトにより、新しいサーバへ引越を余儀なくされました。
ただし、いくらFreeCMSでも脆弱性の危険をもっとサイトで告知する必要があると思います。
仕掛けられたのはタイムスタンプをみると2014年の7月です。
その時期にAjaxSearchの脆弱性を狙った攻撃が各所で報道されていました。
しかしMODx自体はどうだったのでしょうか?
かれこれ2週間、様々調べてようやく分かった次第です。
誰もそのことは教えてくれませんでした。
この表題にもあるようにサイトにスパムが仕掛けられたという題名を出しても、
そのような脆弱性についての説明はされませんでした。
とても悲しくなりましたが、
サイトを管理する業務においては安全が最優先されます。
一応みなさんへの報告を兼ねて書き込みさせていただきました。
古いMODxを運営してる方がいらっしゃいましたら、
拡散くださいませ。
また、アップデートがうまくいかない為、
新しいスレッドを建てさせていただきます。
よろしくサポートをお願いします。
Re: MODxの脆弱性による改ざん
スパムが仕掛けられる原因はCMS本体の脆弱性以外にもあるため、実際にサーバを見て調査してみないとなんとも言えません。
(情報が足りない時点では、MODXに問題がある可能性が高いとは言えないです)
こまめにアップデートしていただくとよいのですが、いかがでしょうか?
もともとのバージョンが1.0.5J-r4とのことですが、それから4年間の間に複数の脆弱性が見つかっています。
http://forum.modx.jp/viewforum.php?f=19
http://modx.jp/news/
重要な情報は上記にまとめてありますので、時々確認いただければと思います。
(特に緊急度の高い情報はトップページ上でも目立つ赤文字などで2~3ヶ月に渡って告知しています)
(情報が足りない時点では、MODXに問題がある可能性が高いとは言えないです)
こまめにアップデートしていただくとよいのですが、いかがでしょうか?
もともとのバージョンが1.0.5J-r4とのことですが、それから4年間の間に複数の脆弱性が見つかっています。
http://forum.modx.jp/viewforum.php?f=19
http://modx.jp/news/
重要な情報は上記にまとめてありますので、時々確認いただければと思います。
(特に緊急度の高い情報はトップページ上でも目立つ赤文字などで2~3ヶ月に渡って告知しています)
Re: サイトにスパムのプログラムが仕掛けられました
Yamaさんへ ご返答ありがとうございます。
まめにアップデートをすることはもちろん必要だと思いますが、
なかなか出来ないものでした。
緊急度が高い情報はメールをもらえるか何かの対策があるといいと思います。
対策があるのだけど気が付かなかっただけなのかもしれませんが。
ひとまずトピを閉めます。
またアップデートについて教えて下さい。
よろしくお願いします。
まめにアップデートをすることはもちろん必要だと思いますが、
なかなか出来ないものでした。
緊急度が高い情報はメールをもらえるか何かの対策があるといいと思います。
対策があるのだけど気が付かなかっただけなのかもしれませんが。
ひとまずトピを閉めます。
またアップデートについて教えて下さい。
よろしくお願いします。
Re: サイトにスパムのプログラムが仕掛けられました
simplepieという文字列はシステム本体に含まれていないので、おそらく拡張機能が関係しているのだと思います。rishii さんが書きました:トップページにアクセスすると
simplepie not found と出てしまいます。
https://www.google.co.jp/search?q=simplepie
RSSフィード関係の拡張機能を何かインストールしていないでしょうか?