Q&A
レンタルサーバーの業者、契約プランも参考までに。
前提
レンタルサーバーに、ある会社のために作ったサイトに、外部の人からphpプログラム(マルウェア)を書き込まれました。そのプログラムを実行するとサーバーのIDとパスワードを知らなくても、ファイルマネージャーとして動きます。
それを実行したと思われるのですが、サイトの中のフォルダやファイルが全て消されてしまいました。
実現したいこと
- 外部からサーバーに勝手に書き込む手法としてどのようなことが考えられるのかを知りたいです。
- サーバーに書き込むことを防ぐ方法にどのようなことが考えられるのかを知りたいです。
発生している問題・エラーメッセージ
サイトのファイルが全部消されてしまった。
該当のソースコード
php
1<?php /* tjwlltii akhmhcij */error_reporting(0);ini_set("display_errors", 0);if(!defined('lmhelqpg')){define('lmhelqpg',__FILE__);if(!function_exists("斐ラゥァ壟ナ")){function ネ埣・フウラ($メュレ懌榴){global$シ堋棕ホ,$ム釟ケ
書き込まれたPHPプログラムの一部だけを表示します。
もし、これの全部が必要な方は連絡をください。
試したこと
これまで行っていたセキュリティ対策
・WAFの導入(検出ログは、問題の発生日には何もありませんでした)
・国外IPアドレスからのアクセスは制限してあります
・サーバーログイン履歴には問題の発生日にはログインはありませんでした。
補足情報(FW/ツールのバージョンなど)
アクセスログです。(「自分.com」が実際のドメイン名になります)
zzeiajc.phpが書き込まれたプログラムです。
自分.com 14.3.114.129 - - [03/Aug/2022:11:06:39 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 103.214.141.162 - - [03/Aug/2022:12:11:07 +0900] "GET /zzeiajc.php HTTP/1.1" 200 315205 "-" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36"
自分.com 103.214.141.162 - - [03/Aug/2022:12:36:31 +0900] "POST /zzeiajc.php HTTP/1.1" 200 29284 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36"
自分.com 103.214.141.162 - - [03/Aug/2022:12:36:35 +0900] "POST /zzeiajc.php HTTP/1.1" 200 46047 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36"
自分.com jobqueue-listener.jobqueue.netcraft.com-ub52906ae128411ed83c1d26e838d6ab1u-digitalocean-2gb - - [03/Aug/2022:13:05:19 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; +info@netcraft.com)"
自分.com 93.89.114.58.ip.vitnett.no - - [03/Aug/2022:14:56:30 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2638.56 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:15:30:24 +0900] "GET /finish.php HTTP/1.1" 200 - "https://自分.com/roumuka_menu.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:15:30:25 +0900] "GET / HTTP/1.1" 200 1632 "https://自分.com/finish.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:15:39:46 +0900] "GET /zzeiajc.php HTTP/1.1" 200 315202 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:15:47:34 +0900] "POST /zzeiajc.php HTTP/1.1" 200 14641 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:15:47:34 +0900] "POST /zzeiajc.php HTTP/1.1" 200 57669 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.sakura.ne.jp cache.google.com - - [03/Aug/2022:16:44:21 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.sakura.ne.jp 210.158.146.102 - - [03/Aug/2022:16:44:22 +0900] "GET /style.css HTTP/1.1" 200 12155 "http://自分.sakura.ne.jp/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 205.210.31.143 - - [03/Aug/2022:17:11:40 +0900] "GET / HTTP/1.1" 200 1632 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"
エラーログです。
[Wed Aug 03 11:15:18.425442 2022] [suexec:notice] [pid 93796] AH01232: suEXEC mechanism enabled (wrapper: /usr/local/apache/bin/suexec)
[Wed Aug 03 11:15:18.456320 2022] [ssl:warn] [pid 93796] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
[Wed Aug 03 11:15:18.934010 2022] [ssl:warn] [pid 93840] AH01873: Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Aug 03 11:15:18.934042 2022] [ssl:warn] [pid 93840] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
[Wed Aug 03 11:15:18.950120 2022] [mpm_prefork:notice] [pid 93840] AH00163: Apache/2.4.54 (Unix) OpenSSL/1.0.2o configured -- resuming normal operations
[Wed Aug 03 11:15:18.957992 2022] [core:notice] [pid 93840] AH00094: Command line: '/usr/local/apache/bin/httpd -f /home/config/users/自分/http/user-httpd.conf'
[Wed Aug 03 11:15:37.942552 2022] [suexec:notice] [pid 94751] AH01232: suEXEC mechanism enabled (wrapper: /usr/local/apache/bin/suexec)
[Wed Aug 03 11:15:37.946613 2022] [ssl:warn] [pid 94751] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
[Wed Aug 03 11:15:38.130890 2022] [ssl:warn] [pid 94795] AH01873: Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Aug 03 11:15:38.130926 2022] [ssl:warn] [pid 94795] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
[Wed Aug 03 11:15:38.142154 2022] [mpm_prefork:notice] [pid 94795] AH00163: Apache/2.4.54 (Unix) OpenSSL/1.0.2o configured -- resuming normal operations
[Wed Aug 03 11:15:38.142208 2022] [core:notice] [pid 94795] AH00094: Command line: '/usr/local/apache/bin/httpd -f /home/config/users/自分/http/user-httpd.conf'
[Wed Aug 03 12:27:12.800870 2022] [cgi:error] [pid 95497] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/windex.php
[Wed Aug 03 12:27:57.337118 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/wp-blockdown.php
[Wed Aug 03 12:27:58.521511 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/wpecho.php
[Wed Aug 03 12:27:59.650311 2022] [cgi:error] [pid 94817] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/d2.php
[Wed Aug 03 12:28:00.875537 2022] [cgi:error] [pid 95497] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/infodat.php
[Wed Aug 03 12:28:02.038647 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/webdata.php
[Wed Aug 03 12:28:03.114980 2022] [cgi:error] [pid 95497] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/local.php
[Wed Aug 03 12:28:04.114466 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/web.php
[Wed Aug 03 14:56:31.049684 2022] [cgi:error] [pid 42309] [client 93.89.114.58:0] AH02811: script not found or unable to stat: /home/自分/www/style.php, referer: http://自分.com/
[Wed Aug 03 14:56:31.593957 2022] [cgi:error] [pid 42309] [client 93.89.114.58:0] AH02811: script not found or unable to stat: /home/自分/www/style.php, referer: http://自分.com/style.php?sig=shell519&file_name=accesson.php&domain=46osago.ru&shell_file=accesson20
[Wed Aug 03 14:56:32.774727 2022] [cgi:error] [pid 42309] [client 93.89.114.58:0] AH02811: script not found or unable to stat: /home/自分/www/accesson.php, referer: http://自分.com/style.php?sig=beima&domain=46osago.ru&shell_file=accesson20&file_name=accesson.php
[Wed Aug 03 15:40:18.792217 2022] [cgi:error] [pid 42309] [client 14.3.114.129:0] AH02811: script not found or unable to stat: /home/自分/www/z9pvs.php
[Wed Aug 03 15:46:58.056361 2022] [cgi:error] [pid 95497] [client 14.3.114.129:0] AH02811: script not found or unable to stat: /home/自分/www/z9pvs.php
引用テキスト
roumuka_menu.php が関わる、もう少し前の時間のアクセスログも見たい。
サーバーはさくらのレンタルサーバ ビジネスです。
自分.com 54.36.148.49 - - [03/Aug/2022:00:00:30 +0900] "GET /robots.txt HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)"
自分.com 51.222.253.5 - - [03/Aug/2022:00:00:32 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)"
自分.com 157.55.39.97 - - [03/Aug/2022:00:01:09 +0900] "GET /raph1264366 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.97 - - [03/Aug/2022:00:21:33 +0900] "GET /baxtere7fd/efbda7554977.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.86 - - [03/Aug/2022:00:30:08 +0900] "GET /tantalian7d6b/ffaabe7585556.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.97 - - [03/Aug/2022:00:30:42 +0900] "GET /socio78255/bcefb11338251.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 207.46.13.107 - - [03/Aug/2022:00:33:14 +0900] "GET /quiza8fb5/fed487155.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 207.46.13.57 - - [03/Aug/2022:02:49:47 +0900] "GET /prenhfc1468583 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 40.77.167.70 - - [03/Aug/2022:02:56:03 +0900] "GET /sybaritish68f/baccc2816859.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 157.55.39.86 - - [03/Aug/2022:03:01:02 +0900] "GET /traps65/ea6452648.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.179 - - [03/Aug/2022:03:04:35 +0900] "GET /homepagea56d0/cfa5185105.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 207.46.13.107 - - [03/Aug/2022:03:30:20 +0900] "GET /outsourcing4346/bdbfe11084539.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 207.46.13.57 - - [03/Aug/2022:03:34:01 +0900] "GET /top/images/hp/stuika_hosyo.html HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 157.55.39.86 - - [03/Aug/2022:03:42:26 +0900] "GET /lodgead71/cdaffc2434924.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 104.248.91.177 - - [03/Aug/2022:03:45:03 +0900] "GET /.env HTTP/1.1" 404 196 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36"
自分.com 104.248.91.177 - - [03/Aug/2022:03:45:04 +0900] "POST / HTTP/1.1" 404 196 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36"
自分.com 104.248.91.177 - - [03/Aug/2022:03:45:05 +0900] "GET /.env HTTP/1.1" 404 196 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36"
自分.com 104.248.91.177 - - [03/Aug/2022:03:45:07 +0900] "POST / HTTP/1.1" 404 196 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36"
自分.com 205.210.31.154 - - [03/Aug/2022:03:48:51 +0900] "GET / HTTP/1.1" 403 199 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"
www.自分.com 207.46.13.107 - - [03/Aug/2022:04:01:15 +0900] "GET /obtained31/adb10393305.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 207.46.13.107 - - [03/Aug/2022:04:09:45 +0900] "GET /prepg740526 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 42.83.147.34 - - [03/Aug/2022:04:23:24 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)Chrome/74.0.3729.169 Safari/537.36"
自分.com 157.55.39.97 - - [03/Aug/2022:04:27:27 +0900] "GET /vaquero7fad/edccce1811380.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.179 - - [03/Aug/2022:04:39:34 +0900] "GET /weasellike9079/cbfbf6462843.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 157.55.39.97 - - [03/Aug/2022:04:39:57 +0900] "GET /tensingd788/ffaefe5413206.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 40.77.167.70 - - [03/Aug/2022:04:40:42 +0900] "GET /ux75/bee11546725.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 221.2.155.199 - - [03/Aug/2022:04:41:53 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0"
自分.com 157.55.39.179 - - [03/Aug/2022:04:50:35 +0900] "GET /upon2ba9/babee1101789.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 157.55.39.97 - - [03/Aug/2022:04:58:39 +0900] "GET /mb-index.php HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.97 - - [03/Aug/2022:04:58:40 +0900] "GET /dehoojnw1587525 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 40.77.167.70 - - [03/Aug/2022:05:04:45 +0900] "GET /homiawkqkj870865 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 157.55.39.86 - - [03/Aug/2022:05:05:01 +0900] "GET /unfcfom142487 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 207.46.13.107 - - [03/Aug/2022:05:30:05 +0900] "GET /uploading13/ade7096953.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 157.55.39.179 - - [03/Aug/2022:05:53:10 +0900] "GET /ibizae1/fa5562106.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 157.55.39.97 - - [03/Aug/2022:05:57:46 +0900] "GET /noswltab824560 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 40.77.167.70 - - [03/Aug/2022:06:00:00 +0900] "GET /wampsville582b/bbdbfd6600402.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 157.55.39.86 - - [03/Aug/2022:06:02:29 +0900] "GET /accepted89/bedb2891940.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 124.140.242.218 - - [03/Aug/2022:06:32:08 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 11; SCV46) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 124.140.242.218 - - [03/Aug/2022:06:32:08 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 11; SCV46) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 40.77.167.70 - - [03/Aug/2022:06:36:14 +0900] "GET /apochr513317 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 1.202.249.94 - - [03/Aug/2022:06:36:35 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
www.自分.com 157.55.39.97 - - [03/Aug/2022:06:39:51 +0900] "GET /peugeot8fc7/fcebda5030058.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.179 - - [03/Aug/2022:06:46:50 +0900] "GET /statistic1e78/affda10860219.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 207.46.13.107 - - [03/Aug/2022:06:50:03 +0900] "GET /tortebde5e/cbf4236309.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.97 - - [03/Aug/2022:07:01:04 +0900] "GET /deqamc1898752 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.97 - - [03/Aug/2022:07:10:53 +0900] "GET /zoners5fe4/aceca11809087.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 35.156.29.12 - - [03/Aug/2022:07:19:06 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 Safari/537.36"
自分.com 80.120.129.210 - - [03/Aug/2022:07:23:07 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 Firefox/26.0"
自分.com 157.55.39.86 - - [03/Aug/2022:07:27:25 +0900] "GET /pain0bdf9/fede9957030.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.97 - - [03/Aug/2022:08:06:48 +0900] "GET /book3b53/acecee3372062.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
www.自分.com 157.55.39.97 - - [03/Aug/2022:08:09:00 +0900] "GET /maripmv19716 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 157.55.39.97 - - [03/Aug/2022:08:12:20 +0900] "GET /yardfulb377c/edfa4281426.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
自分.com 157.55.39.179 - - [03/Aug/2022:08:31:11 +0900] "GET /obegzq155559 HTTP/1.1" 404 196 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) Chrome/103.0.5060.134 Safari/537.36"
www.自分.com 40.77.167.70 - - [03/Aug/2022:08:32:56 +0900] "GET /antbcwft546282 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http
回答6件
0
外部からサーバーに勝手に書き込む手法としてどのようなことが考えられるのかを知りたいです。
原理的には、サーバー上のソフトウェアの脆弱性を悪用されたか、レンタルサーバー等のパスワードを推測あるいはフィッシングなどでとられて、不正ログインされたかのいずかと思われます。
サーバーに書き込むことを防ぐ方法にどのようなことが考えられるのかを知りたいです。
レンタルサーバーですと権限まわりの設定が限られるので、書き込みを防ぐのは難しく、脆弱性やパスワードをしっかりすることしかないと思います。WAFという選択肢はありますが、うまく機能していないようですね。
アクセスログを提示いただいていますが、これは不正侵入された後のログです。不正侵入される前後のログが必要ですが、それを調査するのはセキュリティの企業でないと無理でしょうし、無料でやってくれる会社または人はいないと思います。
言い換えれば、お金を払ってしかるべき専門家に依頼するしかないと思います。
投稿2022/08/05 01:56
総合スコア11705
サーバーログイン履歴には問題の発生日(8/2)の3ヶ月前からログイン自体はありませんから不正ログインはないと思われます。というと、ソフトウェアの脆弱性を悪用されたということになりますが、弊社の製品はPHP7.4.30で開発してあります。ログインできなくても、PHPの脆弱性を悪用できるのでしょうか?もし、そうなら具体的にどう悪用するのかを教えてください。
サーバー自体は、どんな脆弱性が考えられるのでしょうか?
PHP自体の脆弱性は考えにくいと思います。なぜなら、最近のPHPには外部から侵入できるようなレベルの脆弱性はないからです。不正ログインが本当にないとすると、「PHPで作成されたアプリケーション」の脆弱性が一番可能性が高いです。どんなアプリケーションが乗っているか分からないで状態で「具体的に悪用する方法」は答えようがないですが、たとえば下記の本に書いてあるような方法が考えられます。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版
https://www.amazon.co.jp/dp/4797393165/
ありがとうございました。書籍を購入し、対策を考えてみます。
0
ベストアンサー
素人的な視点で恐縮ですが、提示されているログを読んだのですが、改ざんされた時の核心的なログ部分が提示されていません。
www.自分.com 40.77.167.70 - - [03/Aug/2022:08:32:56 +0900] "GET /antbcwft546282 HTTP/1.1" 404 196 <略>
自分.com 103.214.141.162 - - [03/Aug/2022:12:11:07 +0900] "GET /zzeiajc.php HTTP/1.1" 200 315205 <略>
- 8/3 8:32 までの 404応答になっているリクエストは、WordpressなどのPHP製CMSサイトに設置済みのバックドア(WebShell)を探しているアクセスだと考えられます。
- 8/3 12:11 からの "zzeiajc.php" は攻撃者が設置したバックドア(WebShell)だと考えられます。
- したがって、8:32から12:11の間で、wp-config.php や wp-admin.php などの管理者ページや、インストール時のセットアップページの未削除などの脆弱な箇所を発見されてバックドアを仕掛けられたのだと思います。
あと、8:32以前のログで、トップページへのリクエストで 404応答になっているのは、"/" に応答しない状態だったのでしょうね、元々は。
403応答はIP制限で海外IPを拒否ってことかな?あー、そういうわけでもなさそう? https://www.abuseipdb.com/check/104.248.91.177
自分.com 51.222.253.5 - - [03/Aug/2022:00:00:32 +0900] "GET / HTTP/1.1" 403 199 "-"
自分.com 104.248.91.177 - - [03/Aug/2022:03:45:04 +0900] "POST / HTTP/1.1" 404 196
自分.com 104.248.91.177 - - [03/Aug/2022:03:45:07 +0900] "POST / HTTP/1.1" 404 196
自分.com 205.210.31.154 - - [03/Aug/2022:03:48:51 +0900] "GET / HTTP/1.1" 403 199 <<パロアルトからの調査アクセス
自分.com 42.83.147.34 - - [03/Aug/2022:04:23:24 +0900] "GET / HTTP/1.1" 403 199
自分.com 221.2.155.199 - - [03/Aug/2022:04:41:53 +0900] "GET / HTTP/1.1" 403 199
自分.com 1.202.249.94 - - [03/Aug/2022:06:36:35 +0900] "GET / HTTP/1.1" 403 199
自分.com 35.156.29.12 - - [03/Aug/2022:07:19:06 +0900] "GET / HTTP/1.1" 403 199
自分.com 80.120.129.210 - - [03/Aug/2022:07:23:07 +0900] "GET / HTTP/1.1" 403 199
そして、同じリクエストでも 403 になっている場合と、200になっている場合があって、コレは時刻的に考えて、改ざん前は ドキュメントルート "/" へのアクセスをIP制限で拒否していたが、改ざん後には "/" へのアクセスは許可されているという証左じゃないかなと、思いました。
自分.com 205.210.31.154 - - [03/Aug/2022:03:48:51 +0900] "GET / HTTP/1.1" 403 199 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"
自分.com 205.210.31.143 - - [03/Aug/2022:17:11:40 +0900] "GET / HTTP/1.1" 200 1632 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"
バックドアへのアクセス元は 2ip 記録されていますが、片方は🤔...
PHP製CMSへの攻撃の話は、こちらの資料が参考になるかと思いました。(今回の質問者の被害とFOXは別物と思いますが、やり口として「脆弱性を探す」「脆弱性を見つけたらWebShell設置」「攻撃の実行」という流れが分かりやすい)
https://jsac.jpcert.or.jp/archive/2022/pdf/JSAC2022_1_tsuji-nishibe_jp.pdf
投稿2022/08/10 05:01
総合スコア51
>改ざんされた時の核心的なログ部分が提示されていません。
すみません、一度に貼り付ける容量が制限されるので省いていました。以下が、核心的なログ部分と思われる部分です。なおhttp://www.bing.com/bingbot.htm、http://www.google.com/bot.htmlは省きました。
自分.com 113.154.97.52 - - [03/Aug/2022:09:08:11 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36"
自分.com 113.154.97.52 - - [03/Aug/2022:09:08:11 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36"
自分.com 113.154.97.52 - - [03/Aug/2022:09:08:20 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36"
自分.com 113.154.97.52 - - [03/Aug/2022:09:08:20 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36"
自分.com 113.154.97.52 - - [03/Aug/2022:09:09:12 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36"
自分.com 113.154.97.52 - - [03/Aug/2022:09:09:12 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36"
自分.com 113.154.97.52 - - [03/Aug/2022:09:10:30 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36"
自分.com 113.154.97.52 - - [03/Aug/2022:09:10:30 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36"
自分.com 54.174.143.212 - - [03/Aug/2022:09:16:31 +0900] "GET /mb-index.php HTTP/1.1" 404 196 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
自分.com 114.134.248.136 - - [03/Aug/2022:09:46:45 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 12; Pixel 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 114.134.248.136 - - [03/Aug/2022:09:46:45 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 12; Pixel 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 114.134.248.136 - - [03/Aug/2022:09:46:51 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 12; Pixel 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 180.144.219.138 - - [03/Aug/2022:10:20:02 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 10; SCV43) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 180.144.219.138 - - [03/Aug/2022:10:20:02 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 10; SCV43) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 66.90.98.181 - - [03/Aug/2022:10:27:53 +0900] "GET /wp-content/mu-plugins-old/index.php?f=/bmLUxZLeaiRIek7s/umvUsXN4HVg3BzRf.txt HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
自分.com 210.164.28.211 - - [03/Aug/2022:10:41:22 +0900] "GET /index.php HTTP/1.1" 404 196 "https://gwcg.yasashiite.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 210.164.28.211 - - [03/Aug/2022:10:41:23 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/index.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 210.164.28.211 - - [03/Aug/2022:10:41:36 +0900] "GET /index.php HTTP/1.1" 404 196 "https://gwcg.yasashiite.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 210.164.28.211 - - [03/Aug/2022:10:41:49 +0900] "GET /index.php HTTP/1.1" 404 196 "https://gwcg.yasashiite.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134 Safari/537.36 Edg/103.0.1264.77"
自分.com 210.164.28.211 - - [03/Aug/2022:10:41:50 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/index.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134 Safari/537.36 Edg/103.0.1264.77"
自分.com 14.3.114.129 - - [03/Aug/2022:10:49:26 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:10:49:26 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 111.103.151.65 - - [03/Aug/2022:10:59:07 +0900] "POST /mb-index.php HTTP/1.1" 302 - "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 111.103.151.65 - - [03/Aug/2022:10:59:08 +0900] "GET /mb-main.php HTTP/1.1" 200 1561 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 111.103.151.65 - - [03/Aug/2022:10:59:08 +0900] "GET /mbCSS.css HTTP/1.1" 200 2571 "https://自分.com/mb-main.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 111.103.151.65 - - [03/Aug/2022:10:59:09 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-main.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 111.103.151.65 - - [03/Aug/2022:10:59:12 +0900] "GET /mb-yoyaku.php HTTP/1.1" 200 1593 "https://自分.com/mb-main.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 111.103.151.65 - - [03/Aug/2022:10:59:16 +0900] "GET /mb-myself.php HTTP/1.1" 200 5070 "https://自分.com/mb-yoyaku.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 111.103.151.65 - - [03/Aug/2022:10:59:27 +0900] "POST /mb-check2.php HTTP/1.1" 200 645 "https://自分.com/mb-myself.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 111.103.151.65 - - [03/Aug/2022:10:59:28 +0900] "POST /mb-complete2.php HTTP/1.1" 200 855 "https://自分.com/mb-check2.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 111.103.151.65 - - [03/Aug/2022:10:59:37 +0900] "GET /mb-main.php HTTP/1.1" 200 1561 "https://自分.com/mb-complete2.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 111.103.151.65 - - [03/Aug/2022:10:59:45 +0900] "GET /mb-myself.php HTTP/1.1" 200 5070 "https://自分.com/mb-yoyaku.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36"
自分.com 54.36.148.24 - - [03/Aug/2022:11:03:52 +0900] "GET /robots.txt HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)"
自分.com hydrogen270-ext2.a.ahrefs.com - - [03/Aug/2022:11:03:53 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)"
自分.com 14.3.114.129 - - [03/Aug/2022:11:06:39 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:11:06:39 +0900] "GET /style.css HTTP/1.1" 200 12155 "https://自分.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:11:06:41 +0900] "POST /index.php HTTP/1.1" 302 - "https://自分.com/index.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:11:06:42 +0900] "GET /roumuka_menu.php HTTP/1.1" 200 2589 "https://自分.com/index.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:11:06:42 +0900] "GET /common.js HTTP/1.1" 200 4393 "https://自分.com/roumuka_menu.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:11:06:57 +0900] "GET /kenshin_shinsei_kakunin_n.php HTTP/1.1" 200 15848 "https://自分.com/roumuka_menu.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:11:07:15 +0900] "GET /roumuka_menu.php HTTP/1.1" 200 2589 "https://自分.com/kenshin_shinsei_kakunin_n.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, l
エラーログが出力されている時間帯に攻撃者から何らかの操作があったのだろうと推測できるのですが、同時刻のアクセスログがない、ですね...。
怪しいと思われるIPアドレスは、推測できるのは以下の5つのIPアドレスくらいでしょうか...。
- https://www.abuseipdb.com/check/14.3.114.129
- https://www.abuseipdb.com/check/103.214.141.162
- https://www.abuseipdb.com/check/111.103.151.65
- https://www.abuseipdb.com/check/159.203.5.240 << これと
- https://www.abuseipdb.com/check/93.89.114.58 << これは、海外IPがオープンされて入って来た流れ弾かな?
ログインしたユーザーのログがない場合、アプリケーションの脆弱性が狙われた可能性が高いということでしょう。とはいえ、さくらのレンタルサーバを使っているんですかね...。よく分からないですね。
脆弱性でいえば、例えばフォーム入力の確認画面や完了画面で unserialize() とか使っていれば、Laravelなどの有名なフレームワークを使用している場合、内部で使われているクラスを決め打ちして PHP Object Injection する攻撃手法があるため、そういった脆弱性が狙われたのではないかと妄想してしまいます。
勿論、手法や脆弱性は多数考えられるので、なんの材料もなく考えても只の妄想ですね。
https://www.php.net/manual/ja/function.unserialize.php
(※あぁ、すみません、既に徳丸本読めって回答は有りましたね。重複申し訳ございません)
またWAFでは検知していないらしいですが、具体的にどのWAFを使用しどんな設定にしているか、これまでどのような検知をされているのでしょうか。とはいえ、そこを追求しても求めている答えには直接近づくわけではなさそうですね。
https://rs.sakura.ad.jp/function/waf/
さくらのレンタルサーバーであれば、このような案内がありました。
- 不正アクセスに対する取り組み(さくらのレンタルサーバ)
-- https://help.sakura.ad.jp/rs/2237/
- 不正アクセスの原因を知りたい
-- https://help.sakura.ad.jp/rs/2236/
あとは、クローラーの User-Agent に似せてアクセスしていないかも確認されてログをフィルタリングしているのだと思いますが、その辺も確認済みでしょうか?
アクセスログは上にあげたさくらサーバーが取るログしか残っていなくて、これでわからなければ証拠隠滅されてしまったようです。
なおさくらサーバーの国外IPアドレスの制限は、FTPは制限されるがHTTPはほとんど制限されないことがわかりました。
https://help.sakura.ad.jp/rs/2234/?article_anchor=js-nav-2
ですからこの2つが怪しいですね。
- https://www.abuseipdb.com/check/159.203.5.240
- https://www.abuseipdb.com/check/93.89.114.58
アプリケーションの脆弱性が狙われた可能性が高いというのに同意します。アプリケーションを見直してみます。ちなみに、フレームワークは使用してません。
徳丸本を購入したので、読んでみます。
>あとは、クローラーの User-Agent に似せてアクセスしていないかも確認されてログをフィルタリングしているのだと思いますが、その辺も確認済みでしょうか?
http://www.bing.com/bingbot.htm、http://www.google.com/bot.html、を省いたのですが、似た名前でアクセスをしていないかということでしょうか?
もし、そうなら上の2つのURL以外は残してあります。
0
原因と対策を立てるにも、まず何をされたかを突き止める必要があります。
その為に、既に改竄もしくは消去されてしまっているかもしれませんが、redhat系なら/var/log/配下にログファイルが多数保存されているので、シェルにログインして可能な限りtgzに固めるなどして保全しましょう。(管理権限のない共用サーバーだと無理かもです)
本当に国外のIPがブロック出来ているなら、国内のプロバイダ経由でしょうから証拠が見つかれば法的手段に出ることも出来ます。
日本でそんなリスクを犯すのは遊び半分の中高生くらいでしょうから、実際には設定やプログラムをミスっていて海外から攻撃されたか、レンタルサーバーのアカウント情報が漏れたかのような気がします。
いずれにしても闇雲に対策するより、ログをgrepなどで絞り込んで原因を突き止めて対策する方が客先にも説得力があるのではないでしょうか?
投稿2022/08/09 01:59
総合スコア91
0
コメントで「ログイン履歴」について書かれていますが、侵入されるとログや形跡が残るものは消されたり、表示されないようにコマンドを置き換えられる事があります。
去年、Laravelの脆弱性が話題になりました。
利用しているライブラリが古い/漸弱性がないかもご確認下さい。
原因と突き止めて対処しないと再度侵入される可能性があります。
投稿2022/08/09 00:07
総合スコア14
0
原因についてはすでに多くの回答があり、私が付け加える事は無いようです。
対策については「実行すべき php スクリプトの個数がある程度少ないのであれば」、ホワイトリストによる実行管理という方法も検討して良いかと思います。
php.ini の auto_prepend_file に、チェック用スクリプトを指定すると、あらゆる php スクリプトの実行に先立って、チェック用スクリプトが実行されるようになります。
このチェック用スクリプトの中で、$_SERVER[ 'SCRIPT_FILENAME' ] を見て、それがホワイトリストに合致している場合のみ、スクリプトを「ただ終了」させます(exit してはいけません)。
ホワイトリストに合致していなければ、何らかのログを吐いて exit します。
この対策によって、「知らない php スクリプト」が実行される事態は防げるはずです。
ただし、先述した通り、ホワイトリストには「正しい php スクリプト」全てを書き込む必要があるため、必要なスクリプトの個数が膨大であったり、しばしば変動したりする場合には、別の方法を考えた方が良いかもしれません。
投稿2022/08/10 21:55
編集2022/08/15 08:30
総合スコア85
0
httpでのアクセスログより、ユーザーによる操作ログがないのでしょうか。
ログインやファイル操作のログがあるはずです。
取得方法は、サーバーのマニュアルに記載されています。
投稿2022/08/09 01:36
総合スコア42
ユーザーによる操作ログはサーバーログイン履歴にあります。具体的には「コントロールパネル ログイン」と「FTPのログインとログアウト」が出ますが、弊社が行ったことしかありませんでした。
あなたの回答
tips
プレビュー
