[リストへもどる]
一 括 講 読

投稿時間:17/12/04(Mon) 14:58
投稿者名:りょうぞう
Eメール:ryozo@r-ken.co.jp
URL :
タイトル:PHPサイト一部停止のお知らせ
スクリプト攻撃によりスパムスクリプトを埋め込まれスパム送信したいたサイトを一旦停止しました
現在詳細を調査しています
お迷惑をおかけしますがよろしくお願いします。

投稿時間:17/12/06(Wed) 13:46
投稿者名:りょうぞう
Eメール:ryozo@r-ken.co.jp
URL :
タイトル:状況報告4
停止したサイトのうち数サイトを12/4以前のデータに書き戻して再開しました。
明日まで様子を見て問題が置きなければ
改ざん該当サイトは日曜までにサーバーごと以前のデータに戻してサーバー交換しようと思います。

ちょうどサーバーの交換準備をしていたので交換によるサーバー停止時間は二時間程と思われます

その際、更新等でそれ以降のデータが必要な場合はサーバー交換後チェックして戻しますのでご連絡を頂ければと思います

投稿時間:17/12/05(Tue) 01:09
投稿者名:りょうぞう
Eメール:ryozo@r-ken.co.jp
URL :
タイトル:状況報告3
放置されてるphpMyAdminの虚弱性をついてスパムデータをアイコンファイルに偽装してアップロード、それを実行して次々とスパムデータを書き込んでいったものと思われます。

現在影響の出ていないサイトさんもサーバーまるごとやられてしまう可能性がありますので確認をお願いします。

投稿時間:17/12/05(Tue) 06:59
投稿者名:monban
Eメール:monban@aiki-net.org
URL :http://www.aiki-net.org
タイトル:Re: 状況報告3
FTPにて探索致しましたが、phpMyAdmiinは利用しておりませんでした。

monban

> 放置されてるphpMyAdminの虚弱性をついてスパムデータをアイコンファイルに偽装してアップロード、それを実行して次々とスパムデータを書き込んでいったものと思われます。
>
> 現在影響の出ていないサイトさんもサーバーまるごとやられてしまう可能性がありますので確認をお願いします。

投稿時間:17/12/06(Wed) 13:25
投稿者名:monban
Eメール:monban@aiki-net.org
URL :http://www.aiki-net.org
タイトル:Re^2: 状況報告3
りょうぞうさま

お昼過ぎにサイト再開確認いたしました。ご対応ありがとうございました。

monban
> FTPにて探索致しましたが、phpMyAdmiinは利用しておりませんでした。
>
> monban
>
> > 放置されてるphpMyAdminの虚弱性をついてスパムデータをアイコンファイルに偽装してアップロード、それを実行して次々とスパムデータを書き込んでいったものと思われます。
> >
> > 現在影響の出ていないサイトさんもサーバーまるごとやられてしまう可能性がありますので確認をお願いします。

投稿時間:17/12/04(Mon) 19:03
投稿者名:りょうぞう
Eメール:ryozo@r-ken.co.jp
URL :
タイトル:状況報告2
スクリプトの埋め込み攻撃は終わったように見えます
明日までこのまま様子見して攻撃がなければスクリプトの削除を行いたいと思います

投稿時間:17/12/04(Mon) 17:59
投稿者名:りょうぞう
Eメール:ryozo@r-ken.co.jp
URL :
タイトル:状況報告
40サイト程phpを停止致しました

おそらく虚弱性をついてスクリプトを読み込み、システムコマンドで上位ディレクトリを検索して他サイトにもスパムスクリプトを書き込んでいたものと思われます。

原因となったサイトを特定するのは困難なためスパムスクリプトを削除したのち数サイトごと戻しながらチェックしたいと思います

数日かかるものと思いますが希望により先にチェックさせていただきますのでご希望のサイトさんはご連絡を頂ければと思います

投稿時間:17/12/04(Mon) 23:33
投稿者名:monban
Eメール:monban@aiki-net.org
URL :http://www.aiki-net.org
タイトル:Re: 状況報告
いつもお世話になります。

やはりバージョンを上げて頂かないとphp5.2の脆弱性を狙われるようですね。

お手数をおかけいたしますが、毎日更新しておりますので早期の復旧をお願い致します。

aiki-net.org
monban


> 40サイト程phpを停止致しました
>
> おそらく虚弱性をついてスクリプトを読み込み、システムコマンドで上位ディレクトリを検索して他サイトにもスパムスクリプトを書き込んでいたものと思われます。
>
> 原因となったサイトを特定するのは困難なためスパムスクリプトを削除したのち数サイトごと戻しながらチェックしたいと思います
>
> 数日かかるものと思いますが希望により先にチェックさせていただきますのでご希望のサイトさんはご連絡を頂ければと思います



- Web Forum -