サイト改ざんからの回復スリーパーを発見、インターネット・パソコンがゾンビ化する脅威

【WordPress】サイト改ざんからの修復　paperboy での取り組み

By ChopinMagazine
In Weblog
With No Comments
Tagged with Wordpress
On 8 9月 | '2013

Views 0
Likes 0
Rating 12345

WordPress 日本語フォーラムでロリポップ・サーバーで蔓延したサイト改ざんに接して、わたしのサイトを見直すこととした。
一昨年のクリスマス前にこのサイトを預けてあるレンタルサーバーも DDoS アタックを受けている。
そのヘテムルサーバーは、大規模なメンテナンス、DDoS 攻撃に対する設備のインストールも実施されました。

わたしのサイトがゾンビ化したかは定かではありませんが、スリーパーは検出された部分はシャットアウトしてありました。
以下、今回行った駆除のドキュメント。

oriZine テーマにスリーパーを見つけた

このサイトは .pl で終わるメールアドレスのユーザー登録が半分以上ありますが、登録して購読者となっているだけのメールアドレスは今回一括して削除させていただきました。

その後の作業は

まずは Timthumb の検出 — 今回検出されなかった。 — をして、発見されれば最新バージョンに更新。
Wordfence でサイト内の全ファイルのスキャン。

Wordfence のスキャンで使用していないテーマに不審なコードを埋め込んでいる footer.php がありました。そこでサーバー内のサイト以下にあるテーマを確認するとパーミッションが 777 でした。外部からの読みだし、書き込み自由という設定です。迷わずに削除ですね。WordPress 内のテーマの管理で削除しました。

随分前にインストールしたテーマで、実質使用はしていません。記憶に薄いところからするとアップデートもされないままだったテーマかもしれません。

情報処理2013年5月号別刷「《特集》DoS攻撃」

もう10年は前になりますが、SE 試験を受ける時には脅威を実感することはありませんでした。ダイアルアップだった時代から光で常時接続できる便利な今、高速になった自分のパソコンが元で「サービス運用妨害攻撃」したとブラックリストに載せられないようにしていないといけない。『情報処理』2013年05月号特集「DoS攻撃」の記事のみを抜き出した別刷になって購入できます。
本特集では、DoS 攻撃、DDoS ( Distributed DoS 、分散型 DoS )攻撃といわれる一連のサービス運用妨害攻撃をとりあげ、その対策としての取り組みを、関係者の懸命な対応の様子を描いた実際の『攻撃発生時の観察日記』を交えつつ、紹介しています。

「DDoS は身内からもやってくる」は、自分がゾンビ化して加担するのでサイト改ざんはサーバー側の不勉強と攻撃するだけではいられません。

《特集》DoS攻撃
0.編集にあたって(寺田真敏)
1. DoS/DDoS 攻撃とは(寺田真敏)
2.1 DoS/DDoS 攻撃観察日記(1)～ DDoS は身内からもやってくる～(高倉弘喜)
2.2 DoS/DDoS 攻撃観察日記(2)~ Antinny による ACCS サイトへの DDoS 攻撃~(小山覚・中川文憲)
2.3 DoS/DDoS 攻撃観察日記(3)~ボットネット PushDo によるSSL接続攻撃を振り返って~(橘喜胤・寺田真敏)
3.1 DoS/DDoS 攻撃対策(1)～ ISP における DDoS 対策の現状と課題～(齋藤衛)
3.2 DoS/DDoS 攻撃対策(2)～高度化する DDoS 攻撃と対策サイトの視点から～(倉上弘)
3.3 DoS/DDoS 攻撃対策(3)～ダークネット観測網を用いたバックスキャッタ分析～(井上大介・中里純二・衛藤将史・中尾康二)
4. DDoS 攻撃に対する通信事業者の取り組み(西部喜康)
コラム: DoS 攻撃に対する警察の取り組み(田村研輔・中山毅彦)