質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.46%
スクレイピング

スクレイピングとは、公開されているWebサイトからページ内の情報を抽出する技術です。

さくらのレンタルサーバ

さくらのレンタルサーバとは、格安サーバーで知られるさくらインターネット社の提供する共有レンタルサーバー。Webサイトの構築から簡単なプログラミングまで幅広く利用することができ、プランが多いことも特徴です。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

6回答

9848閲覧

サイトのファイルが外部の者に消されてしまったので、その原因と対策を知りたいです

magtaro

総合スコア21

スクレイピング

スクレイピングとは、公開されているWebサイトからページ内の情報を抽出する技術です。

さくらのレンタルサーバ

さくらのレンタルサーバとは、格安サーバーで知られるさくらインターネット社の提供する共有レンタルサーバー。Webサイトの構築から簡単なプログラミングまで幅広く利用することができ、プランが多いことも特徴です。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

7クリップ

投稿2022/08/05 01:39

前提

レンタルサーバーに、ある会社のために作ったサイトに、外部の人からphpプログラム(マルウェア)を書き込まれました。そのプログラムを実行するとサーバーのIDとパスワードを知らなくても、ファイルマネージャーとして動きます。
それを実行したと思われるのですが、サイトの中のフォルダやファイルが全て消されてしまいました。

実現したいこと

  • 外部からサーバーに勝手に書き込む手法としてどのようなことが考えられるのかを知りたいです。
  • サーバーに書き込むことを防ぐ方法にどのようなことが考えられるのかを知りたいです。

発生している問題・エラーメッセージ

サイトのファイルが全部消されてしまった。

該当のソースコード

php

1<?php /* tjwlltii akhmhcij */error_reporting(0);ini_set("display_errors", 0);if(!defined('lmhelqpg')){define('lmhelqpg',__FILE__);if(!function_exists("斐ラゥァ壟ナ")){function ネ埣・フウラ($メュレ懌榴){global$シ堋棕ホ,$ム釟ケ

書き込まれたPHPプログラムの一部だけを表示します。
もし、これの全部が必要な方は連絡をください。

試したこと

これまで行っていたセキュリティ対策
・WAFの導入(検出ログは、問題の発生日には何もありませんでした)
・国外IPアドレスからのアクセスは制限してあります
・サーバーログイン履歴には問題の発生日にはログインはありませんでした。

補足情報(FW/ツールのバージョンなど)

アクセスログです。(「自分.com」が実際のドメイン名になります)
zzeiajc.phpが書き込まれたプログラムです。

自分.com 14.3.114.129 - - [03/Aug/2022:11:06:39 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 103.214.141.162 - - [03/Aug/2022:12:11:07 +0900] "GET /zzeiajc.php HTTP/1.1" 200 315205 "-" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36"
自分.com 103.214.141.162 - - [03/Aug/2022:12:36:31 +0900] "POST /zzeiajc.php HTTP/1.1" 200 29284 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36"
自分.com 103.214.141.162 - - [03/Aug/2022:12:36:35 +0900] "POST /zzeiajc.php HTTP/1.1" 200 46047 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36"
自分.com jobqueue-listener.jobqueue.netcraft.com-ub52906ae128411ed83c1d26e838d6ab1u-digitalocean-2gb - - [03/Aug/2022:13:05:19 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; +info@netcraft.com)"
自分.com 93.89.114.58.ip.vitnett.no - - [03/Aug/2022:14:56:30 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2638.56 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:15:30:24 +0900] "GET /finish.php HTTP/1.1" 200 - "https://自分.com/roumuka_menu.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:15:30:25 +0900] "GET / HTTP/1.1" 200 1632 "https://自分.com/finish.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:15:39:46 +0900] "GET /zzeiajc.php HTTP/1.1" 200 315202 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:15:47:34 +0900] "POST /zzeiajc.php HTTP/1.1" 200 14641 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 14.3.114.129 - - [03/Aug/2022:15:47:34 +0900] "POST /zzeiajc.php HTTP/1.1" 200 57669 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.sakura.ne.jp cache.google.com - - [03/Aug/2022:16:44:21 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.sakura.ne.jp 210.158.146.102 - - [03/Aug/2022:16:44:22 +0900] "GET /style.css HTTP/1.1" 200 12155 "http://自分.sakura.ne.jp/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
自分.com 205.210.31.143 - - [03/Aug/2022:17:11:40 +0900] "GET / HTTP/1.1" 200 1632 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"

エラーログです。

[Wed Aug 03 11:15:18.425442 2022] [suexec:notice] [pid 93796] AH01232: suEXEC mechanism enabled (wrapper: /usr/local/apache/bin/suexec)
[Wed Aug 03 11:15:18.456320 2022] [ssl:warn] [pid 93796] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
[Wed Aug 03 11:15:18.934010 2022] [ssl:warn] [pid 93840] AH01873: Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Aug 03 11:15:18.934042 2022] [ssl:warn] [pid 93840] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
[Wed Aug 03 11:15:18.950120 2022] [mpm_prefork:notice] [pid 93840] AH00163: Apache/2.4.54 (Unix) OpenSSL/1.0.2o configured -- resuming normal operations
[Wed Aug 03 11:15:18.957992 2022] [core:notice] [pid 93840] AH00094: Command line: '/usr/local/apache/bin/httpd -f /home/config/users/自分/http/user-httpd.conf'
[Wed Aug 03 11:15:37.942552 2022] [suexec:notice] [pid 94751] AH01232: suEXEC mechanism enabled (wrapper: /usr/local/apache/bin/suexec)
[Wed Aug 03 11:15:37.946613 2022] [ssl:warn] [pid 94751] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
[Wed Aug 03 11:15:38.130890 2022] [ssl:warn] [pid 94795] AH01873: Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Aug 03 11:15:38.130926 2022] [ssl:warn] [pid 94795] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
[Wed Aug 03 11:15:38.142154 2022] [mpm_prefork:notice] [pid 94795] AH00163: Apache/2.4.54 (Unix) OpenSSL/1.0.2o configured -- resuming normal operations
[Wed Aug 03 11:15:38.142208 2022] [core:notice] [pid 94795] AH00094: Command line: '/usr/local/apache/bin/httpd -f /home/config/users/自分/http/user-httpd.conf'
[Wed Aug 03 12:27:12.800870 2022] [cgi:error] [pid 95497] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/windex.php
[Wed Aug 03 12:27:57.337118 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/wp-blockdown.php
[Wed Aug 03 12:27:58.521511 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/wpecho.php
[Wed Aug 03 12:27:59.650311 2022] [cgi:error] [pid 94817] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/d2.php
[Wed Aug 03 12:28:00.875537 2022] [cgi:error] [pid 95497] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/infodat.php
[Wed Aug 03 12:28:02.038647 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/webdata.php
[Wed Aug 03 12:28:03.114980 2022] [cgi:error] [pid 95497] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/local.php
[Wed Aug 03 12:28:04.114466 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/web.php
[Wed Aug 03 14:56:31.049684 2022] [cgi:error] [pid 42309] [client 93.89.114.58:0] AH02811: script not found or unable to stat: /home/自分/www/style.php, referer: http://自分.com/
[Wed Aug 03 14:56:31.593957 2022] [cgi:error] [pid 42309] [client 93.89.114.58:0] AH02811: script not found or unable to stat: /home/自分/www/style.php, referer: http://自分.com/style.php?sig=shell519&file_name=accesson.php&domain=46osago.ru&shell_file=accesson20
[Wed Aug 03 14:56:32.774727 2022] [cgi:error] [pid 42309] [client 93.89.114.58:0] AH02811: script not found or unable to stat: /home/自分/www/accesson.php, referer: http://自分.com/style.php?sig=beima&domain=46osago.ru&shell_file=accesson20&file_name=accesson.php
[Wed Aug 03 15:40:18.792217 2022] [cgi:error] [pid 42309] [client 14.3.114.129:0] AH02811: script not found or unable to stat: /home/自分/www/z9pvs.php
[Wed Aug 03 15:46:58.056361 2022] [cgi:error] [pid 95497] [client 14.3.114.129:0] AH02811: script not found or unable to stat: /home/自分/www/z9pvs.php
引用テキスト

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2022/08/05 01:57

レンタルサーバーの業者、契約プランも参考までに。
退会済みユーザー

退会済みユーザー

2022/08/05 02:01

roumuka_menu.php が関わる、もう少し前の時間のアクセスログも見たい。
magtaro

2022/08/07 13:46

サーバーはさくらのレンタルサーバ ビジネスです。 自分.com 54.36.148.49 - - [03/Aug/2022:00:00:30 +0900] "GET /robots.txt HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)" 自分.com 51.222.253.5 - - [03/Aug/2022:00:00:32 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)" 自分.com 157.55.39.97 - - [03/Aug/2022:00:01:09 +0900] "GET /raph1264366 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.97 - - [03/Aug/2022:00:21:33 +0900] "GET /baxtere7fd/efbda7554977.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.86 - - [03/Aug/2022:00:30:08 +0900] "GET /tantalian7d6b/ffaabe7585556.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.97 - - [03/Aug/2022:00:30:42 +0900] "GET /socio78255/bcefb11338251.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 207.46.13.107 - - [03/Aug/2022:00:33:14 +0900] "GET /quiza8fb5/fed487155.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 207.46.13.57 - - [03/Aug/2022:02:49:47 +0900] "GET /prenhfc1468583 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 40.77.167.70 - - [03/Aug/2022:02:56:03 +0900] "GET /sybaritish68f/baccc2816859.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 157.55.39.86 - - [03/Aug/2022:03:01:02 +0900] "GET /traps65/ea6452648.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.179 - - [03/Aug/2022:03:04:35 +0900] "GET /homepagea56d0/cfa5185105.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 207.46.13.107 - - [03/Aug/2022:03:30:20 +0900] "GET /outsourcing4346/bdbfe11084539.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 207.46.13.57 - - [03/Aug/2022:03:34:01 +0900] "GET /top/images/hp/stuika_hosyo.html HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 157.55.39.86 - - [03/Aug/2022:03:42:26 +0900] "GET /lodgead71/cdaffc2434924.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 104.248.91.177 - - [03/Aug/2022:03:45:03 +0900] "GET /.env HTTP/1.1" 404 196 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" 自分.com 104.248.91.177 - - [03/Aug/2022:03:45:04 +0900] "POST / HTTP/1.1" 404 196 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" 自分.com 104.248.91.177 - - [03/Aug/2022:03:45:05 +0900] "GET /.env HTTP/1.1" 404 196 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" 自分.com 104.248.91.177 - - [03/Aug/2022:03:45:07 +0900] "POST / HTTP/1.1" 404 196 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" 自分.com 205.210.31.154 - - [03/Aug/2022:03:48:51 +0900] "GET / HTTP/1.1" 403 199 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers&#39; presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com" www.自分.com 207.46.13.107 - - [03/Aug/2022:04:01:15 +0900] "GET /obtained31/adb10393305.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 207.46.13.107 - - [03/Aug/2022:04:09:45 +0900] "GET /prepg740526 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 42.83.147.34 - - [03/Aug/2022:04:23:24 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)Chrome/74.0.3729.169 Safari/537.36" 自分.com 157.55.39.97 - - [03/Aug/2022:04:27:27 +0900] "GET /vaquero7fad/edccce1811380.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.179 - - [03/Aug/2022:04:39:34 +0900] "GET /weasellike9079/cbfbf6462843.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 157.55.39.97 - - [03/Aug/2022:04:39:57 +0900] "GET /tensingd788/ffaefe5413206.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 40.77.167.70 - - [03/Aug/2022:04:40:42 +0900] "GET /ux75/bee11546725.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 221.2.155.199 - - [03/Aug/2022:04:41:53 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0" 自分.com 157.55.39.179 - - [03/Aug/2022:04:50:35 +0900] "GET /upon2ba9/babee1101789.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 157.55.39.97 - - [03/Aug/2022:04:58:39 +0900] "GET /mb-index.php HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.97 - - [03/Aug/2022:04:58:40 +0900] "GET /dehoojnw1587525 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 40.77.167.70 - - [03/Aug/2022:05:04:45 +0900] "GET /homiawkqkj870865 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 157.55.39.86 - - [03/Aug/2022:05:05:01 +0900] "GET /unfcfom142487 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 207.46.13.107 - - [03/Aug/2022:05:30:05 +0900] "GET /uploading13/ade7096953.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 157.55.39.179 - - [03/Aug/2022:05:53:10 +0900] "GET /ibizae1/fa5562106.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 157.55.39.97 - - [03/Aug/2022:05:57:46 +0900] "GET /noswltab824560 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 40.77.167.70 - - [03/Aug/2022:06:00:00 +0900] "GET /wampsville582b/bbdbfd6600402.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 157.55.39.86 - - [03/Aug/2022:06:02:29 +0900] "GET /accepted89/bedb2891940.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 124.140.242.218 - - [03/Aug/2022:06:32:08 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 11; SCV46) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 124.140.242.218 - - [03/Aug/2022:06:32:08 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 11; SCV46) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 40.77.167.70 - - [03/Aug/2022:06:36:14 +0900] "GET /apochr513317 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 1.202.249.94 - - [03/Aug/2022:06:36:35 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" www.自分.com 157.55.39.97 - - [03/Aug/2022:06:39:51 +0900] "GET /peugeot8fc7/fcebda5030058.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.179 - - [03/Aug/2022:06:46:50 +0900] "GET /statistic1e78/affda10860219.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 207.46.13.107 - - [03/Aug/2022:06:50:03 +0900] "GET /tortebde5e/cbf4236309.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.97 - - [03/Aug/2022:07:01:04 +0900] "GET /deqamc1898752 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.97 - - [03/Aug/2022:07:10:53 +0900] "GET /zoners5fe4/aceca11809087.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 35.156.29.12 - - [03/Aug/2022:07:19:06 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 Safari/537.36" 自分.com 80.120.129.210 - - [03/Aug/2022:07:23:07 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 Firefox/26.0" 自分.com 157.55.39.86 - - [03/Aug/2022:07:27:25 +0900] "GET /pain0bdf9/fede9957030.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.97 - - [03/Aug/2022:08:06:48 +0900] "GET /book3b53/acecee3372062.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" www.自分.com 157.55.39.97 - - [03/Aug/2022:08:09:00 +0900] "GET /maripmv19716 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 157.55.39.97 - - [03/Aug/2022:08:12:20 +0900] "GET /yardfulb377c/edfa4281426.htm HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 自分.com 157.55.39.179 - - [03/Aug/2022:08:31:11 +0900] "GET /obegzq155559 HTTP/1.1" 404 196 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) Chrome/103.0.5060.134 Safari/537.36" www.自分.com 40.77.167.70 - - [03/Aug/2022:08:32:56 +0900] "GET /antbcwft546282 HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http
guest

回答6

0

外部からサーバーに勝手に書き込む手法としてどのようなことが考えられるのかを知りたいです。

原理的には、サーバー上のソフトウェアの脆弱性を悪用されたか、レンタルサーバー等のパスワードを推測あるいはフィッシングなどでとられて、不正ログインされたかのいずかと思われます。

サーバーに書き込むことを防ぐ方法にどのようなことが考えられるのかを知りたいです。

レンタルサーバーですと権限まわりの設定が限られるので、書き込みを防ぐのは難しく、脆弱性やパスワードをしっかりすることしかないと思います。WAFという選択肢はありますが、うまく機能していないようですね。

アクセスログを提示いただいていますが、これは不正侵入された後のログです。不正侵入される前後のログが必要ですが、それを調査するのはセキュリティの企業でないと無理でしょうし、無料でやってくれる会社または人はいないと思います。
言い換えれば、お金を払ってしかるべき専門家に依頼するしかないと思います。

投稿2022/08/05 01:56

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

magtaro

2022/08/07 02:21

サーバーログイン履歴には問題の発生日(8/2)の3ヶ月前からログイン自体はありませんから不正ログインはないと思われます。というと、ソフトウェアの脆弱性を悪用されたということになりますが、弊社の製品はPHP7.4.30で開発してあります。ログインできなくても、PHPの脆弱性を悪用できるのでしょうか?もし、そうなら具体的にどう悪用するのかを教えてください。 サーバー自体は、どんな脆弱性が考えられるのでしょうか?
ockeghem

2022/08/07 05:13

PHP自体の脆弱性は考えにくいと思います。なぜなら、最近のPHPには外部から侵入できるようなレベルの脆弱性はないからです。不正ログインが本当にないとすると、「PHPで作成されたアプリケーション」の脆弱性が一番可能性が高いです。どんなアプリケーションが乗っているか分からないで状態で「具体的に悪用する方法」は答えようがないですが、たとえば下記の本に書いてあるような方法が考えられます。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 https://www.amazon.co.jp/dp/4797393165/
magtaro

2022/08/07 13:28

ありがとうございました。書籍を購入し、対策を考えてみます。
guest

0

ベストアンサー

素人的な視点で恐縮ですが、提示されているログを読んだのですが、改ざんされた時の核心的なログ部分が提示されていません。

www.自分.com 40.77.167.70 - - [03/Aug/2022:08:32:56 +0900] "GET /antbcwft546282 HTTP/1.1" 404 196 <略>
自分.com 103.214.141.162 - - [03/Aug/2022:12:11:07 +0900] "GET /zzeiajc.php HTTP/1.1" 200 315205 <略>

  • 8/3 8:32 までの 404応答になっているリクエストは、WordpressなどのPHP製CMSサイトに設置済みのバックドア(WebShell)を探しているアクセスだと考えられます。
  • 8/3 12:11 からの "zzeiajc.php" は攻撃者が設置したバックドア(WebShell)だと考えられます。
  • したがって、8:32から12:11の間で、wp-config.php や wp-admin.php などの管理者ページや、インストール時のセットアップページの未削除などの脆弱な箇所を発見されてバックドアを仕掛けられたのだと思います。

あと、8:32以前のログで、トップページへのリクエストで 404応答になっているのは、"/" に応答しない状態だったのでしょうね、元々は。
403応答はIP制限で海外IPを拒否ってことかな?あー、そういうわけでもなさそう? https://www.abuseipdb.com/check/104.248.91.177

自分.com 51.222.253.5 - - [03/Aug/2022:00:00:32 +0900] "GET / HTTP/1.1" 403 199 "-"
自分.com 104.248.91.177 - - [03/Aug/2022:03:45:04 +0900] "POST / HTTP/1.1" 404 196
自分.com 104.248.91.177 - - [03/Aug/2022:03:45:07 +0900] "POST / HTTP/1.1" 404 196
自分.com 205.210.31.154 - - [03/Aug/2022:03:48:51 +0900] "GET / HTTP/1.1" 403 199 <<パロアルトからの調査アクセス
自分.com 42.83.147.34 - - [03/Aug/2022:04:23:24 +0900] "GET / HTTP/1.1" 403 199
自分.com 221.2.155.199 - - [03/Aug/2022:04:41:53 +0900] "GET / HTTP/1.1" 403 199
自分.com 1.202.249.94 - - [03/Aug/2022:06:36:35 +0900] "GET / HTTP/1.1" 403 199
自分.com 35.156.29.12 - - [03/Aug/2022:07:19:06 +0900] "GET / HTTP/1.1" 403 199
自分.com 80.120.129.210 - - [03/Aug/2022:07:23:07 +0900] "GET / HTTP/1.1" 403 199

そして、同じリクエストでも 403 になっている場合と、200になっている場合があって、コレは時刻的に考えて、改ざん前は ドキュメントルート "/" へのアクセスをIP制限で拒否していたが、改ざん後には "/" へのアクセスは許可されているという証左じゃないかなと、思いました。

自分.com 205.210.31.154 - - [03/Aug/2022:03:48:51 +0900] "GET / HTTP/1.1" 403 199 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"
自分.com 205.210.31.143 - - [03/Aug/2022:17:11:40 +0900] "GET / HTTP/1.1" 200 1632 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"

バックドアへのアクセス元は 2ip 記録されていますが、片方は🤔...

PHP製CMSへの攻撃の話は、こちらの資料が参考になるかと思いました。(今回の質問者の被害とFOXは別物と思いますが、やり口として「脆弱性を探す」「脆弱性を見つけたらWebShell設置」「攻撃の実行」という流れが分かりやすい)
https://jsac.jpcert.or.jp/archive/2022/pdf/JSAC2022_1_tsuji-nishibe_jp.pdf

投稿2022/08/10 05:01

Oshiete-kun

総合スコア51

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

magtaro

2022/08/14 08:51

>改ざんされた時の核心的なログ部分が提示されていません。 すみません、一度に貼り付ける容量が制限されるので省いていました。以下が、核心的なログ部分と思われる部分です。なおhttp://www.bing.com/bingbot.htm、http://www.google.com/bot.htmlは省きました。 自分.com 113.154.97.52 - - [03/Aug/2022:09:08:11 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36" 自分.com 113.154.97.52 - - [03/Aug/2022:09:08:11 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36" 自分.com 113.154.97.52 - - [03/Aug/2022:09:08:20 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36" 自分.com 113.154.97.52 - - [03/Aug/2022:09:08:20 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36" 自分.com 113.154.97.52 - - [03/Aug/2022:09:09:12 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36" 自分.com 113.154.97.52 - - [03/Aug/2022:09:09:12 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36" 自分.com 113.154.97.52 - - [03/Aug/2022:09:10:30 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36" 自分.com 113.154.97.52 - - [03/Aug/2022:09:10:30 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 7.1.2; KYV43 Build/1.140FO.70.a; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/103.0.5060.129 Mobile Safari/537.36" 自分.com 54.174.143.212 - - [03/Aug/2022:09:16:31 +0900] "GET /mb-index.php HTTP/1.1" 404 196 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36" 自分.com 114.134.248.136 - - [03/Aug/2022:09:46:45 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 12; Pixel 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 114.134.248.136 - - [03/Aug/2022:09:46:45 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 12; Pixel 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 114.134.248.136 - - [03/Aug/2022:09:46:51 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 12; Pixel 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 180.144.219.138 - - [03/Aug/2022:10:20:02 +0900] "POST /mb-index.php HTTP/1.1" 404 196 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 10; SCV43) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 180.144.219.138 - - [03/Aug/2022:10:20:02 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-index.php" "Mozilla/5.0 (Linux; Android 10; SCV43) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 66.90.98.181 - - [03/Aug/2022:10:27:53 +0900] "GET /wp-content/mu-plugins-old/index.php?f=/bmLUxZLeaiRIek7s/umvUsXN4HVg3BzRf.txt HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" 自分.com 210.164.28.211 - - [03/Aug/2022:10:41:22 +0900] "GET /index.php HTTP/1.1" 404 196 "https://gwcg.yasashiite.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 210.164.28.211 - - [03/Aug/2022:10:41:23 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/index.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 210.164.28.211 - - [03/Aug/2022:10:41:36 +0900] "GET /index.php HTTP/1.1" 404 196 "https://gwcg.yasashiite.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 210.164.28.211 - - [03/Aug/2022:10:41:49 +0900] "GET /index.php HTTP/1.1" 404 196 "https://gwcg.yasashiite.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134 Safari/537.36 Edg/103.0.1264.77" 自分.com 210.164.28.211 - - [03/Aug/2022:10:41:50 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/index.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134 Safari/537.36 Edg/103.0.1264.77" 自分.com 14.3.114.129 - - [03/Aug/2022:10:49:26 +0900] "GET / HTTP/1.1" 403 199 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 14.3.114.129 - - [03/Aug/2022:10:49:26 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 111.103.151.65 - - [03/Aug/2022:10:59:07 +0900] "POST /mb-index.php HTTP/1.1" 302 - "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 111.103.151.65 - - [03/Aug/2022:10:59:08 +0900] "GET /mb-main.php HTTP/1.1" 200 1561 "https://www.mobileka.com/" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 111.103.151.65 - - [03/Aug/2022:10:59:08 +0900] "GET /mbCSS.css HTTP/1.1" 200 2571 "https://自分.com/mb-main.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 111.103.151.65 - - [03/Aug/2022:10:59:09 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "https://自分.com/mb-main.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 111.103.151.65 - - [03/Aug/2022:10:59:12 +0900] "GET /mb-yoyaku.php HTTP/1.1" 200 1593 "https://自分.com/mb-main.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 111.103.151.65 - - [03/Aug/2022:10:59:16 +0900] "GET /mb-myself.php HTTP/1.1" 200 5070 "https://自分.com/mb-yoyaku.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 111.103.151.65 - - [03/Aug/2022:10:59:27 +0900] "POST /mb-check2.php HTTP/1.1" 200 645 "https://自分.com/mb-myself.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 111.103.151.65 - - [03/Aug/2022:10:59:28 +0900] "POST /mb-complete2.php HTTP/1.1" 200 855 "https://自分.com/mb-check2.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 111.103.151.65 - - [03/Aug/2022:10:59:37 +0900] "GET /mb-main.php HTTP/1.1" 200 1561 "https://自分.com/mb-complete2.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 111.103.151.65 - - [03/Aug/2022:10:59:45 +0900] "GET /mb-myself.php HTTP/1.1" 200 5070 "https://自分.com/mb-yoyaku.php" "Mozilla/5.0 (Linux; Android 9; SHV40) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36" 自分.com 54.36.148.24 - - [03/Aug/2022:11:03:52 +0900] "GET /robots.txt HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)" 自分.com hydrogen270-ext2.a.ahrefs.com - - [03/Aug/2022:11:03:53 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)" 自分.com 14.3.114.129 - - [03/Aug/2022:11:06:39 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 14.3.114.129 - - [03/Aug/2022:11:06:39 +0900] "GET /style.css HTTP/1.1" 200 12155 "https://自分.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 14.3.114.129 - - [03/Aug/2022:11:06:41 +0900] "POST /index.php HTTP/1.1" 302 - "https://自分.com/index.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 14.3.114.129 - - [03/Aug/2022:11:06:42 +0900] "GET /roumuka_menu.php HTTP/1.1" 200 2589 "https://自分.com/index.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 14.3.114.129 - - [03/Aug/2022:11:06:42 +0900] "GET /common.js HTTP/1.1" 200 4393 "https://自分.com/roumuka_menu.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 14.3.114.129 - - [03/Aug/2022:11:06:57 +0900] "GET /kenshin_shinsei_kakunin_n.php HTTP/1.1" 200 15848 "https://自分.com/roumuka_menu.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" 自分.com 14.3.114.129 - - [03/Aug/2022:11:07:15 +0900] "GET /roumuka_menu.php HTTP/1.1" 200 2589 "https://自分.com/kenshin_shinsei_kakunin_n.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, l
Oshiete-kun

2022/08/14 20:00 編集

エラーログが出力されている時間帯に攻撃者から何らかの操作があったのだろうと推測できるのですが、同時刻のアクセスログがない、ですね...。 怪しいと思われるIPアドレスは、推測できるのは以下の5つのIPアドレスくらいでしょうか...。 - https://www.abuseipdb.com/check/14.3.114.129 - https://www.abuseipdb.com/check/103.214.141.162 - https://www.abuseipdb.com/check/111.103.151.65 - https://www.abuseipdb.com/check/159.203.5.240 << これと - https://www.abuseipdb.com/check/93.89.114.58 << これは、海外IPがオープンされて入って来た流れ弾かな? ログインしたユーザーのログがない場合、アプリケーションの脆弱性が狙われた可能性が高いということでしょう。とはいえ、さくらのレンタルサーバを使っているんですかね...。よく分からないですね。 脆弱性でいえば、例えばフォーム入力の確認画面や完了画面で unserialize() とか使っていれば、Laravelなどの有名なフレームワークを使用している場合、内部で使われているクラスを決め打ちして PHP Object Injection する攻撃手法があるため、そういった脆弱性が狙われたのではないかと妄想してしまいます。 勿論、手法や脆弱性は多数考えられるので、なんの材料もなく考えても只の妄想ですね。 https://www.php.net/manual/ja/function.unserialize.php (※あぁ、すみません、既に徳丸本読めって回答は有りましたね。重複申し訳ございません) またWAFでは検知していないらしいですが、具体的にどのWAFを使用しどんな設定にしているか、これまでどのような検知をされているのでしょうか。とはいえ、そこを追求しても求めている答えには直接近づくわけではなさそうですね。 https://rs.sakura.ad.jp/function/waf/ さくらのレンタルサーバーであれば、このような案内がありました。 - 不正アクセスに対する取り組み(さくらのレンタルサーバ) -- https://help.sakura.ad.jp/rs/2237/ - 不正アクセスの原因を知りたい -- https://help.sakura.ad.jp/rs/2236/ あとは、クローラーの User-Agent に似せてアクセスしていないかも確認されてログをフィルタリングしているのだと思いますが、その辺も確認済みでしょうか?
magtaro

2022/08/15 08:58

アクセスログは上にあげたさくらサーバーが取るログしか残っていなくて、これでわからなければ証拠隠滅されてしまったようです。 なおさくらサーバーの国外IPアドレスの制限は、FTPは制限されるがHTTPはほとんど制限されないことがわかりました。 https://help.sakura.ad.jp/rs/2234/?article_anchor=js-nav-2 ですからこの2つが怪しいですね。 - https://www.abuseipdb.com/check/159.203.5.240 - https://www.abuseipdb.com/check/93.89.114.58 アプリケーションの脆弱性が狙われた可能性が高いというのに同意します。アプリケーションを見直してみます。ちなみに、フレームワークは使用してません。 徳丸本を購入したので、読んでみます。 >あとは、クローラーの User-Agent に似せてアクセスしていないかも確認されてログをフィルタリングしているのだと思いますが、その辺も確認済みでしょうか? http://www.bing.com/bingbot.htm、http://www.google.com/bot.html、を省いたのですが、似た名前でアクセスをしていないかということでしょうか? もし、そうなら上の2つのURL以外は残してあります。
guest

0

原因と対策を立てるにも、まず何をされたかを突き止める必要があります。

その為に、既に改竄もしくは消去されてしまっているかもしれませんが、redhat系なら/var/log/配下にログファイルが多数保存されているので、シェルにログインして可能な限りtgzに固めるなどして保全しましょう。(管理権限のない共用サーバーだと無理かもです)

本当に国外のIPがブロック出来ているなら、国内のプロバイダ経由でしょうから証拠が見つかれば法的手段に出ることも出来ます。

日本でそんなリスクを犯すのは遊び半分の中高生くらいでしょうから、実際には設定やプログラムをミスっていて海外から攻撃されたか、レンタルサーバーのアカウント情報が漏れたかのような気がします。

いずれにしても闇雲に対策するより、ログをgrepなどで絞り込んで原因を突き止めて対策する方が客先にも説得力があるのではないでしょうか?

投稿2022/08/09 01:59

ippei

総合スコア89

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

magtaro

2022/08/14 11:19

さくらサーバでは3ヶ月くらいログが取れるので、全部を保全しました。それから原因を突き止めるのが難しくて困っていますが、ありがとうございました。
guest

0

コメントで「ログイン履歴」について書かれていますが、侵入されるとログや形跡が残るものは消されたり、表示されないようにコマンドを置き換えられる事があります。
去年、Laravelの脆弱性が話題になりました。
利用しているライブラリが古い/漸弱性がないかもご確認下さい。
原因と突き止めて対処しないと再度侵入される可能性があります。

投稿2022/08/09 00:07

Kury

総合スコア14

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

原因についてはすでに多くの回答があり、私が付け加える事は無いようです。
対策については「実行すべき php スクリプトの個数がある程度少ないのであれば」、ホワイトリストによる実行管理という方法も検討して良いかと思います。

php.ini の auto_prepend_file に、チェック用スクリプトを指定すると、あらゆる php スクリプトの実行に先立って、チェック用スクリプトが実行されるようになります。

このチェック用スクリプトの中で、$_SERVER[ 'SCRIPT_FILENAME' ] を見て、それがホワイトリストに合致している場合のみ、スクリプトを「ただ終了」させます(exit してはいけません)。
ホワイトリストに合致していなければ、何らかのログを吐いて exit します。

この対策によって、「知らない php スクリプト」が実行される事態は防げるはずです。
ただし、先述した通り、ホワイトリストには「正しい php スクリプト」全てを書き込む必要があるため、必要なスクリプトの個数が膨大であったり、しばしば変動したりする場合には、別の方法を考えた方が良いかもしれません。

投稿2022/08/10 21:55

編集2022/08/15 08:30
kurai

総合スコア85

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

magtaro

2022/08/14 10:48

便利な対策の方法を教えてくれてありがとうございました。検討してみます。
guest

0

httpでのアクセスログより、ユーザーによる操作ログがないのでしょうか。
ログインやファイル操作のログがあるはずです。
取得方法は、サーバーのマニュアルに記載されています。

投稿2022/08/09 01:36

HidekoSaeki

総合スコア42

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

magtaro

2022/08/14 10:31

ユーザーによる操作ログはサーバーログイン履歴にあります。具体的には「コントロールパネル ログイン」と「FTPのログインとログアウト」が出ますが、弊社が行ったことしかありませんでした。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.46%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問