HETEML SECURITY NEWS

  • WEBサイト改ざんの予防策
  • 改ざんされた場合には?

対応完了までの手順

[1]

不正なアクセスは、CMSの脆弱性を狙って攻撃してきています

CMSおよび利用プラグインを最新バージョンへ更新をする。
利用をしていないCMSおよびプラグインは削除を行なっていただきますようお願い申し上げます。

最新のバージョンへ更新する

[2]

不正なアクセスは、フォルダのパーミッションに書き込み権限があるものから狙われます

すべてのフォルダのパーミッションを「705」に変更する。

「このフォルダを編集する」をクリック

現在の属性を「705」に変えて保存する

[3]

改ざんされた不正なphpファイルの削除・修正を行なってください

作成した覚えのない以下のファイルが存在する場合は削除してください。

作成した覚えのないファイル thumbsdata.phpなど、作成した覚えのないファイル

※●●●●にはランダムの英数字が入ります。
※上記ファイルによりパーミッション等の書き換えやスパムメールの送信が行われています。
※画像はWindows環境でのキャプチャ画像です。

WordPressの【timthumb.php】について

WordPressにて利用されている【timthumb.php】にて脆弱性の報告がでております。

▼【参考】WordPress利用サイトへの改ざん攻撃の増加を確認(日本IBM)
http://scan.netsecurity.ne.jp/article/2011/11/16/27649.html

【timthumb.php】はさまざまなテーマプラグインに利用されています。
最新版にアップデートして頂ければ安心してご利用頂くことが可能です。もし必要ない場合は、削除していただきますようお願い申し上げます。

既存のphpファイルをチェックし、先頭に記述した覚えのないコードが書かれている場合は、その箇所を削除する修正を行なってください。

【改ざん例の一部抜粋】

<?php global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { 【以下省略】

その他にも改ざんパターンが多数報告されております。

「.paid」ファイルは削除をしないようにお願いいたします。

「web」フォルダと同階層にある「.paid」というファイルはヘテムルにて設置しているサーバー側の管理用ファイルとなります。
このファイルは改ざんにより作成されたファイルではございませんので削除をしないようにお願いいたします。

▼よくある質問
「.paid」ファイルはなんですか?

[4]

改ざんのケースごとの対応方法

  1. 自動でページが遷移してしまう場合
  2. ページが文字化けしている場合
  3. タイトルが書き換えられている場合
  1. 自動でページが遷移してしまう場合
    .htaccessファイルをチェックし、下記のようなリダイレクトする記述を削除する

    【改ざん例】

    ErrorDocument 400 http://【リダイレクト先URL】
    ErrorDocument 401 http://【リダイレクト先URL】
    ErrorDocument 403 http://【リダイレクト先URL】
    ErrorDocument 404 http://【リダイレクト先URL】
    ErrorDocument 500 http://【リダイレクト先URL】
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_REFERER} .*google.* [OR]
    【一部省略】
    RewriteRule ^(.*)$ http://【リダイレクト先URL】 [R=301,L]
    </IfModule>

    .htaccessファイルをチェックし、下記のような記述がある場合は削除する

    【改ざん例】

    .htaccess に画像ファイルの拡張子でPHPを実行しようとする記述が改ざんにより追加されている例となります。
    該当の記述を一行そのまま削除してください。

    AddHandler application/x-httpd-php .png

    ※再度改ざんを防止するためにパーミッションを「404」としていただくと書き込み自体を一切禁止するため有効です。
    (なお、.htaccessの内容を修正・追加などを行う際には、都度パーミッションの変更が必要となります。)

  2. ページが文字化けしている場合

    文字コードが改ざんによって変更されている可能性があります。設定をご確認のうえ修正をお願いします。
    (例)UTF-8 が UTF-7 になっている

  3. サイトタイトルが変更されている場合
    1. コントロールパネル【データベース】にて、新しいパスワードを設定します。
    2. wp-config.php ファイルを「400」から書き込み可能なパーミッションに変更し、ファイル内の下記の部分でデータベースのパスワードを書き変えて保存します。保存後パーミッションはまた「400」をご設定ください。

      /** MySQL データベースのパスワード */
      define('DB_PASSWORD', '新しいパスワード');

    3. WordPressのダッシュボードメニュー【外観】のカスタマイズにてサイトのタイトルをご変更ください。
      タイトルの変更

※お使いのパソコンにバックアップファイルがある場合は、一度サーバー上のファイルを削除後に、バックアップファイルよりアップロード。その後、【その2】のフォルダのパーミッションを「705」に変更することでも対応は可能です。

トップヘ戻る