今日の役に立たない一言 - Today’s Trifle! -

古い記事ではさまざまなテーマを書いていますが、2007年以降はプログラミング関連の話がほとんどです。

クラウドのサーバーの脆弱性を突かれて疲れた

Web Joomla

昨日の午前中に、Twitterのタイムラインを見てて、ひとつのニュースがふと目に留まった。

≫ WordPressサイトの.htaccessが改ざんされている件 - CGI版PHPの脆弱性?謎のindex.bak.php | WP SEOブログ

自分のサイトでは、まだWordPressを使ってないけど、一応チェックしとくかと思って調べてみた。

そしたら、上のブログで書かれてる内容とは違うけど、.htaccess が改竄というか、もともと置いてなかったのに、勝手に作成されてるではないか!

この↓内容で .htaccess が作られてた。Joomla!のサイトは既にあるので、ファイルの先頭に挿入されてた。

最初、CMSを使ってない static なサイト上 http://www.satoshis.com/ で発見したので、apache の脆弱性を突かれたのかな?とか思い、apache を最新版の 2.2.22 にアップデートした。

これで大丈夫かな、と .htaccess を削除して様子を見てたら、1時間もしないうちに同じような .htaccess が作られてた。last してみたけど不正なログインはないし、ps しても変なプロセスは見当たらないので、何かのサービス経由で来てるんだろうと判断。

httpd のログを見ると、ロシアとか韓国とか中国のアドレスから、不思議なパラメーター付きのアクセスがあるのを発見。でも、htacces って文字列は見当たらず。

いろいろと調べてみると、なぜか staticなhtmlを置いてるバーチャルホストと、Joomla のバーチャルホストのディレクトリにだけ .htaccess が作られてるっぽいことが分かった。

もしかして、Joomlaの脆弱性?

この際だから、Joomlaも 1.5 ベースの最新版 1.5.22 にアップデートしてみた。が、まだ改竄が続いてる。定期的に IE8 でアクセスしてきて、.htaccess を作成したり書き換えたりしてくれてる。

httpd のアクセスログを調べると、どうやら Joomla! の解説サイトを利用してるらしい。Joomla!の解説サイトって、いろいろとエクステンションを入れてるから、エクステンションに脆弱性があるのかもしれない。アクセス先URLを調べると、com_morfeoshow ってエクステンションにアクセスするときに、長くて変なパラメーターが渡されてた。

確認したけど、そのエクステンションは現状では使ってなくて、Joomla!のシステム上ではアンインストール済になってた。

こうしたら、それ以降は .htaccess が作成されたり改竄されたりすることはなくなった。

でも、ひたすら同じURLに対してアクセスを続けてるらしく、エラーログに404が次々に積み上げられていく。

ブロックして、やっと平和が訪れた。