HETEML SECURITY NEWS

サイトが改ざんされた場合は、下記の対応を行なってください。

[1]

不正なアクセスは、CMSの脆弱性を狙って攻撃してきています

CMSおよび利用プラグインを最新バージョンへ更新をする。
利用をしていないCMSおよびプラグインは削除を行なっていただきますようお願い申し上げます。

最新のバージョンへ更新する

[2]

不正なアクセスは、ディレクトリのパーミッションに書き込み権限があるものから狙われます

すべてのディレクトリのパーミッションを「705」に変更する。

「このフォルダを編集する」をクリック

現在の属性を「705」に変えて保存する

[3]

改ざんされた不正なphpファイルの削除・修正を行なってください

作成した覚えのない以下のファイルが存在する場合は削除してください。

thumbsdata.phpなど、作成した覚えのないファイル ※●●●●にはランダムの英数字が入ります。
※上記ファイルによりパーミッション等の書き換えやスパムメールの送信が行われています。

WordPressの【timthumb.php】について

WordPressにて利用されている【timthumb.php】にて脆弱性の報告がでております。

▼【参考】WordPress利用サイトへの改ざん攻撃の増加を確認(日本IBM)
>> http://scan.netsecurity.ne.jp/article/2011/11/16/27649.html

timthumb.php】はさまざまなテーマプラグインに利用されています。
最新版にアップデートして頂ければ安心してご利用頂くことが可能です。もし必要ない場合は、削除していただきますようお願い申し上げます。

既存のphpファイルをチェックし、先頭に記述した覚えのないコードが書かれている場合は、その箇所を削除する修正を行なってください。

【改ざん例の一部抜粋】

<?php global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { 【以下省略】

その他にも改ざんパターンが多数報告されております。

ヘテムルの改ざん調査プログラムが、自動的にコメントアウトしたファイルに関してはこちらをご確認ください。▼表示する

【改ざん調査プログラムが自動的にコメントアウトした例】

ヘテムルの調査プログラムが自動的にコメントアウトした部分

今回、ヘテムルの改ざん調査プログラムがコード( 黄色の部分 )を改ざんと判断した場合、そのコードを無効化するためにコメントアウト( 水色の部分 )をしました。

改ざんと判断されたコード )の部分を確認していただき、お客様が記述した覚えがない場合は、
コメントアウト部分 )と( 改ざんと判断されたコード )の部分を全て削除してください。

もし、お客様が記述したコードが改ざんと判断されていた場合は、
お手数をおかけして申し訳ございませんが、( コメントアウト部分 )の削除をお願いいたします。

改ざん調査プログラムがコメントアウトしたファイルは、お客様のログインフォルダに
「surveyed_by_heteml.txt」ファイルが追加され、その中に改ざんと判断したファイル名を記述しております。
surveyed_by_heteml.txtファイルが追加されています。 コードを確認する際は、「surveyed_by_heteml.txt」ファイルをご参照ください。

「.paid」ファイルは削除をしないようにお願いいたします。

「web」ディレクトリと同階層にある「.paid」というファイルはヘテムルにて設置しているサーバー側の管理用ファイルとなります。
このファイルは改ざんにより作成されたファイルではございませんので削除をしないようにお願いいたします。

▼よくある質問
>> 「.paid」ファイルはなんですか?

[4]

サイトがリダイレクト(自動遷移)する原因の.htaccessを修正しましょう

.htaccessファイルをチェックし、下記のようなリダイレクトする記述を削除する

【改ざん例】

ErrorDocument 400 http://【リダイレクト先URL】
ErrorDocument 401 http://【リダイレクト先URL】
ErrorDocument 403 http://【リダイレクト先URL】
ErrorDocument 404 http://【リダイレクト先URL】
ErrorDocument 500 http://【リダイレクト先URL】
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
【一部省略】
RewriteRule ^(.*)$ http://【リダイレクト先URL】 [R=301,L]
</IfModule>

※再度改ざんを防止するためにパーミッションを「404」としていただくと書き込み自体を一切禁止するため有効です。
(なお、.htaccessの内容を修正・追加などを行う際には、都度パーミッションの変更が必要となります。)

※お使いのパソコンにバックアップファイルがある場合は、一度サーバー上のファイルを削除後に、バックアップファイルよりアップロード。その後、【その2】のディレクトリのパーミッションを「705」に変更することでも対応は可能です。

トップヘ戻る

heteml Copyright © 2005 - 2011 paperboy&co. All Rights Reserved.