Joomla 写風

  • フォントサイズを大きくする
  • デフォルトフォントサイズ
  • フォントサイズを小さく
Home hacked by Hmei7-その1

hacked by Hmei7

Eメール 印刷 PDF

【hacked by Hmei7 緊急報告】

さくらより「重要・要返信」のメールを受け取りました(2/15)。サーバーの運用されておりますコンテンツに対し「不審な文字列が埋め込まれている」との情報提供がございましたのでご連絡いたします。との内容です。

さっそく調べたところ確かにルートディレクトリに x.txt のファイルでその中身は「hacked by Hmei7」と書かれた txt ファイルです。
hacked と書かれたので危険を感じて即座にサーバーから削除しました。
インターネットを調べたところ http://webcache.googleusercontent.com/search?q=cache:http://syahoo.sakura.ne.jp/x.txt
すでに 2/13 には google で確認されており、2013年2月12日 00:52:30 GMT に取得されたものとなっています。
いよいよハッカーに攻撃を受けたと認識しました。

さっそくサーバー内を調べたところ、サーバーの /bigdump/ ディレクトリの中に見られないファイルが発見されました。
これは危険と感じて既知の既存ファイルも含めて削除しました。(もともとこの/bigdump/bigdump.php は用済みなれば消去すべきものだったのですがそのまま放置していたもの)
/bigdump/bigdump.php(これは既知ファイルです)
               /mail.php.sql(覚えない生成されたとみなされるファイル)
               /o.php.sql(覚えない生成されたとみなされるファイル)
               /sql.php.sql(覚えない生成されたとみなされるファイル)

削除した x.txt  を含め パソコン内に保存。ここでパソコン内ファイルすべてを全スキャンをかけてみました。
予期しないことが発覚しました。/o.php.sql と /sql.php.sql の2つのファイルが検知され2つとも Troja-Mailfinder.PHP.Massmabh として別フォーマットされて駆除処置されました。
この前にパソコンの再起動をかけてところブルースクリーンの異常が2回発生しました。2回目の立ち上がった段階で全スキャンをかけました。

x.txt は正常でした。多分 /bigdump/o.php.sql と /bigdump/sql.php.sql を生成された後は何もなかったように正常なテキストファイルに戻ったのかも知れない。
とりあえずサーバーへのアクセスパスワードを変更、joomla! と Movable Type の管理パスワードを変更しました。
更にサーバー内の全ファイルをバックアップしてこれらのファイルすべてを全スキャンをかけてみました。
サーバー内の後のファイルは大丈夫で検知されませんでした。ブルースクリーンの異常は隔離後は発生しておりません。

今のところ攻撃を受けた障害はブルースクリーンの異常が発生したのみとなっています。隔離された異常生成ファイルは削除しをしました。
その他の目立った異常は出ておりませんが気を配って経過を観察中です。

ネットを調べてみましたが「hacked by Hmei7」による攻撃は国内ではあまり見かけませんが国外ではかなり攻撃を受けている事例がありました。
特に Joomla! を攻撃されているようです。


なお、以下に海外サイトからの対応処置を参考までに記しておきます。

【hacked by Hmei7 の対応】

以下の不審なファイルが存在すれば削除する。

configuration.php(joomla!に使用されているファイル)
susu.php
x.txt
index.html(どこにでも使われています)
000-aaz.gif
0day.php
c99.php
config.root
css.php
エンgt.php
index.old.php
lib.php
maroc.php
r57.php
rc.php
story.php
tar.tmp
toy.php
web1.php
wh.php
Wos.php
xxu.php
xxx.php
zzzzx.php

〇 phpMyAdmin 
wp_postsテーブルを見て<SCRIPT>のすべてのインスタンスを削除します などが」記載されていました。

日本国内のサーバーでは関係文書2ヶ所を紹介しておきます。

告知報告(大塚商会)
http://www.incidents.jp/news/

WhiteHackerzBlog ハッカー養成学院 公式ブログ
http://www.whitehackerz.jp/blog/?p=1661

WhiteHackerzBlog ハッカー養成学院の対応記事(謝辞)
http://www.whitehackerz.jp/blog/?p=1730

 

最終更新 2013年 10月 22日(火曜日) 23:37  
Home hacked by Hmei7-その1

写風お勧め Extemtion

秋づいた美山町

  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow

Movies

アンケート

Joomla!を何に利用しますか?
 

オンライン中のユーザー

現在
 ゲスト 71 人
 がオンラインです

ニュース速報

Joomla! 1.5 - 自由に体験してください!こんなに簡単にあなたのダイナミックなウェブサイトができあがる事はありませんでした。最高のCMS管理画面で、あなたの話すランゲージですべてのコンテンツを管理してください。