2018.01.15 経過を観察していたけれど、特に何も発生しないようなので、報告は今回を持って終了。また何かあったらその時はここで。 しかし、今回は比較的早期発見できてよかったなと。しばらく放置していたら踏み台にされていた可能性大だったからなぁ。 2018.01.09 とりあえず、本日も異常なし。 ちょっと調べてみたけれど、今回の改ざんは、数年前にはやったWordPressの脆弱性を突いた手口と似ているようだ。問題は、当サイトの構築にはWordPressは使用していない点にある。 WordPressを使っているのは、レンタルサーバ側の構築ツールと新ページ構築用にローカルに導入した環境があるが、現状、両方とも使っていない状態だ。さらに、ローカル側では本番更新用に環境設定をしていないので、そのままではログインできないはず…。はたしてどこから? 2018.01.08 続報です。 正常なファイルに書き戻してからは、特に異常は発生していない模様です。 フォルダのパーミッションを確認しましたが、特に変更されている気配はないため、管理者権限を使ってファイルを設置したことは間違いなさそうです。問題は、どうやって管理者権限を使われたかってことなのですが… とりあえず、今は使っていない古いCGIがあるのでそれは削除してみましたが、管理者権限を使ったわりにはパスワードも変更されていないしそれほどのことはしていない雰囲気です。 2018.01.07 <緊急告知> 当Webサイトに、不正なコードが埋め込まれていたことが判明しました。 前回更新時には異常がなかったこと、設置されていた.phpファイルや書き換えられたファイルのタイムスタンプから判断して、改変は2018年1月4日午後5時17分前後に行われたものと考えられます。 表面的な症状としては「www.watches-lead.com」というWebサイトに飛ばされるというだけですが、既存別フォルダに.phpファイルが設置されており、また新設フォルダ内に.jpgファイルが設置されていました。このjpegに拡張子偽装したファイル内に書かれているスクリプトが本命スクリプトと思われます。 ざっとスクリプトを確認したところ、不正なファイルをダウンロードさせる等の機能はないようで、こちらで本サイトを見たときも特殊な挙動は示さず、ウイルスチェックにも引っかからないため、そういった意味では閲覧者の環境を汚染するものではないと考えます。 また、googleさんのアクセスログも確認しましたが、例によって閲覧者数はごく少数で、また怪しい動きもないようでした。 ということで、現状では大きな影響はないものと判断していますが、当面の間は経過観察を行っていきます。新たな事態が判明した場合には、こちらで報告させていただきます。 2018.01.07 7日になって『明けましておめでとうございます』ってのもギリギリですなっ! 今年こそは、ホームページの刷新をしたいところだが、どこまで手が回るやら。なんとか20周年更新だけは終えてPCIビデオカード企画が一段落したところなので、絶好のタイミングなんだけどなぁ。 ということで、とてもほぼ日刊復活なんてとても無理っす(笑) |