クラウドのサーバーの脆弱性を突かれて疲れた
昨日の午前中に、Twitterのタイムラインを見てて、ひとつのニュースがふと目に留まった。
≫ WordPressサイトの.htaccessが改ざんされている件 - CGI版PHPの脆弱性?謎のindex.bak.php | WP SEOブログ
自分のサイトでは、まだWordPressを使ってないけど、一応チェックしとくかと思って調べてみた。
そしたら、上のブログで書かれてる内容とは違うけど、.htaccess が改竄というか、もともと置いてなかったのに、勝手に作成されてるではないか!
この↓内容で .htaccess が作られてた。Joomla!のサイトは既にあるので、ファイルの先頭に挿入されてた。
最初、CMSを使ってない static なサイト上 http://www.satoshis.com/ で発見したので、apache の脆弱性を突かれたのかな?とか思い、apache を最新版の 2.2.22 にアップデートした。
これで大丈夫かな、と .htaccess を削除して様子を見てたら、1時間もしないうちに同じような .htaccess が作られてた。last してみたけど不正なログインはないし、ps しても変なプロセスは見当たらないので、何かのサービス経由で来てるんだろうと判断。
httpd のログを見ると、ロシアとか韓国とか中国のアドレスから、不思議なパラメーター付きのアクセスがあるのを発見。でも、htacces って文字列は見当たらず。
いろいろと調べてみると、なぜか staticなhtmlを置いてるバーチャルホストと、Joomla のバーチャルホストのディレクトリにだけ .htaccess が作られてるっぽいことが分かった。
もしかして、Joomlaの脆弱性?
この際だから、Joomlaも 1.5 ベースの最新版 1.5.22 にアップデートしてみた。が、まだ改竄が続いてる。定期的に IE8 でアクセスしてきて、.htaccess を作成したり書き換えたりしてくれてる。
httpd のアクセスログを調べると、どうやら Joomla! の解説サイトを利用してるらしい。Joomla!の解説サイトって、いろいろとエクステンションを入れてるから、エクステンションに脆弱性があるのかもしれない。アクセス先URLを調べると、com_morfeoshow ってエクステンションにアクセスするときに、長くて変なパラメーターが渡されてた。
確認したけど、そのエクステンションは現状では使ってなくて、Joomla!のシステム上ではアンインストール済になってた。
こうしたら、それ以降は .htaccess が作成されたり改竄されたりすることはなくなった。
でも、ひたすら同じURLに対してアクセスを続けてるらしく、エラーログに404が次々に積み上げられていく。
ブロックして、やっと平和が訪れた。