ぼくんちのTVがハッキングされ、ウィルス仕込まれてました><

概要

今年5～6月に問題になった、php-cgiの脆弱性のアレでバックドア作られていました。
php-cgiの脆弱性を修正しても、バックドアが1個残ったままでした。
phpをcgiモードで作動させているサーバーでWebサイト運営を楽しんでいらっしゃる方の参考になればと思い、このページを残します。

感染したURL

このサイトは、「さくらのVPS」と「さくらのスタンダード」で稼動しています。

その中で「さくらスタンダード」で運営しているページの一部が感染していました。
感染したページのURL
http://tvbok.com/管理ページ/403ページ専用のアクセス解析の管理ページ/.../bl2/
このbl2ディレクトリが新規に作成され、そこにウイルス仕込まれてました。

このサイト(本館/別館/バックステージ/カルテ/444)を通常閲覧するだけでは、上記の問題ページにアクセスが発生する事はありません。

サーバーログの確認:ウィルスへのアクセスはなし

攻撃者は、問題のURLへ直接リンクを貼る･リダイレクトをかける等を行い、ユーザーにウイルスを感染させるのが目的だと推測されます。
サーバーlogをgrepして見ましたが、問題のURLに誰かがアクセスした形跡は全くありません。被害は無いと思います。

被害の可能性のある人

被害は無いと思う･･･と書きましたが、念のために。
以下に該当する人は注意してください。
感染の可能性が(ほんの少しですが)あるかもしれません。
　・このサイトの管理ページに不正にアクセスしようとした人
　・このサイトのアクセス解析ツールに不正にアクセスしようとした人
　・403ページからブルートフォースをかけた人
　・サーバーにログが残らない経路でアクセスした人(普通こんなことできない)

普通に閲覧してただけの人は、感染の可能性はありません。
ただし403(閲覧禁止)ページが表示されてしまうような不正アクセスを行うと、そこから問題のファイルへアクセスできてしまう可能性があります。

サイト管理人でさえブラウザからは直接アクセス出来ない場所に仕込まれているので、アクセス出来てしまった人は自業自得になりますが･･･もし感染した人がいたら･･･やっぱ申し訳ない気持ちです。

どんなウィルスだったの？

1. Trojan.Maljava 
2. Trojan.Dropper
3. Infostealer.Ldpinch!g1

いずれも危険度･感染度は低め。Windowsに感染するキーロガーとトロイです。
ハッキングされたディレクトリにアクセスすると、
　1. まずjavaアプレットが書き換えられ
　2. Java経由でウィルスファイルが自動的にダウンロードされる
という仕組みのもの。

感染するとどうなるの？

古典的なウイルスで、Avira･ノートン･ウィルスバスターなど大抵のセキュリティーツールが、侵入と同時に検出･削除してくれます。

感染するとWindowsマシンにバックドアを仕込まれます。感染しただけでは大きな被害は発生しません。しかしそのまま放置していると、更に危険なウィルスの侵入を許してしまいます。遠隔操作可能になり、ゾンビPCと化す可能性が大きいです。

ぼくんちのTVは、なぜ感染したの？

まず今年6月の初旬、さくらのスタンダード鯖のphp-cgiの脆弱性を突かれ、バックドアを仕掛けられました。

5月にロリポップやWordpressが狙われ、
6月初旬にさくらインターネットが狙われ、
それなりに問題になったアレです。

関連する事例の参考リンク(外部リンク)
　・CGI版のPHPの脆弱性を突いてトラップを仕掛けた事例 - ”improve it!”
　・.htaccessの改ざんを受けていた | ZF-Exブログ
　・WordPressサイトの.htaccessが改ざんされている件 
サーバー内にバックドアを仕掛けるタイプのモノです。

このサイトも、同じ手口でやられていました。
ロリポップもさくらも対応が迅速だった為、問題にはなったものの、大きな被害は発生しませんでした。

当時このサイトも同様の対策を打ち、改ざんされたファイルの修正とバックドア削除を行いました。しかし、このバックドアの削除が不完全であったため、2ヵ月後にそこからウイルスの侵入を許してしまいました。

1. ぼくんちのTV本館 や ぼくんちのバックステージを稼動させているさくらのスタンダードも、当時バックドアを仕掛けられました。
2. バックドアを仕掛けられた状態は、２日ほど続きました。
   バックドアそのものにはウィルス感染能力はありませんが、外部からの侵入が容易になっている状態でした。（この時点では一般の閲覧ユーザーがウイルス感染する可能性なしです）
3. ロリポやWordpressが狙われた時とほぼ同じ手口であり、新鮮な情報があった事ですぐに対処出来ました。
   phpのバージョンアップを行い、バックドアを仕掛けられたファイルは全て削除しました。いや･･･した筈でした･･･。
4. 問題は、一般ユーザーのアクセスを想定していないディレクトリは、甘いチェックで済ませていた事でした。
   上層階層のみのチェックで済ませてしまったため、深い階層に仕込まれたバックドアに気が付かず今まで放置していました････('Α`)
   
5. ちなみにバックドアが仕掛けられていたディレクトリは、2年ほど前に作成し放置していた場所。「メールで受けた質問がメールで返しきれないので、特定の1人にむけ作成したディレクトリ」でした。書いた本人もその存在を忘れていたディレクトリが攻撃されました。
6. バックドアの存在に気が付かないまま2ヶ月が過ぎた頃、バックドアからの侵入を許してしまいました。
   
   • 問題のディレクトリと同じドメイン･同じ階層にあったアクセス解析ツールのディレクトリが狙われ、バックドアを通して該当箇所にウィルスが仕込まれた。
   タイムスタンプを頼りにサーバーログを調べるものの、侵入の形跡なし。ハッカーさんさすがやでえ･･･('Α`)

何が問題だったのか

php-cgiの脆弱性問題が発生した６月頃、私は
　・自分で.htaccessを設置した場所
　・php-cgiを自前で設置した場所
　・MovableTypeを設置したディレクトリ
　・ブラウザからアクセス可能なディレクトリ
この4点を中心にファイル改ざんとバックドアのチェックを行っていました。

結果、それより深い階層で発生した改ざんに気が付くことが遅れました。
サーバー内を「.htaccess」や「*.png, *.gif」で全検索かけるべきだった･･･。

今回の件で、何が一番怖いのか

たとえウイルスが「通常アクセス出来ない深い階層に置かれた状態」でも、
「再び侵入してアクセス解析ツールの大元htaccessをチョロっと書き換える」と、ぼくんちのTV(別館以外)全てのURLで、ウィルスをばら撒く事が可能な状態でした。。。

別館 以外のサイト →(本館 / バックステージ / カルテ / 444)
この4つのサイトは、ウイルス汚染 一歩手前の状態でした･･･

閲覧者が感染する可能性の具体例

一般のユーザーが感染する可能性はゼロです。
感染の可能性があるのは、以下3パターン

1. このサイトの管理ページを覗き見して見ようとした人
   
   • 不正に管理ページにアクセスする
     → 403ページに飛ばされる
     → 403ページ内のアクセス解析のURLを辿る
     → アクセス解析が設置してあるディレクトリ内を隅々まで捜索する
     → ウィルスゲット！
2. このサイトにスパムBotを飛ばしていた人
   
   • スパム判定を食らったbot専用ページに飛ぶ
     → botホイホイ にしているアクセス解析ツールが作動する
     → アクセス解析のURLを辿る
     → アクセス解析が設置してあるディレクトリ内を隅々まで捜索する
     → ウィルスゲット！
3. 該当するURLに直接飛んだ人
   
   • ウイルスを仕込んだ人が、該当URLに直接リンクを貼る
     → そのリンクを踏んでこのサイトに来た人
     → ウィルスゲット！

ウイルスの一部はGPL！？

GPLのウイルスとか･･･軽いめまいが･･･('Α`)

あとがき

ウイルスに署名してある「Blackhat Academy」には、見覚えがある。
アクセス禁止にしたスパムBotの一部にこの名前がある。

このサイトの設計は、悪意を持ってアクセスして来る人を、一番セキュリティが甘くなっているディレクトリに誘導していた事になるのか････('Α`)

「スパムBotをホイホイして楽しんでんじゃねーよ！俺たちを怒らすと怖いぜ」とノド元にナイフを突きつけられた感じなのか、ウイルス研究を行っている人たちの実験台に使われたのか･･･そんな感じです('Α`)
このサイトもそれなりに大きくなって来た事ですし、セキュリティ気をつけて頑張りますorz