2021年は、ウェブサービスを開始して19年になるのですが
はじめてハッカー被害にあいました。(しかも2回も)
最初の被害は、協業サイトで、「よりによってこのタイミング?」です。
事態が悪化すると自社だけの問題では済まないため焦りましたが、サーバー業者の協力もあり無事解決。
2回目の被害は、その2週間後です。
CMS経由の書き換えで、WordPressとMovableTypeのダブル攻撃。
WordPressのほうは、わりと簡単に駆除できました。
MovableTypeはシェアが低いせいか、攻撃も滅多になかった分、対処に苦慮。
よって次回の攻撃に備えて備忘録です。
今回の特徴
・MovableType(以下MT)のCGIファイル経由で潜入
・.htaccessを書き換えて非表示(これで侵入が判明)
・phpの不要なファイルを置きみやげ(のちに悪さする可能性大)
・MT採用のサイト7割に攻撃
こんなところです。
対処法
海外ユーザーからの報告に伴い、シックスアパート社が公式に案内を出してくれました。
[重要]
MT 7 r.5003 /MT 6.8.3 / MT Premium 1.47 の提供を開始(セキュリティアップデート)
MT内のCGIファイル「mt-xmlrpc.cgi」を削除するか、パーミッションを書き換るかでOKとの事。
経緯
11/7 発覚→該当ファイル削除
11/8 原因探求→WrodPressのログイン情報変更
11/9 複数サイトに php-cgi.coreが発生→削除
mt-xmlrpc.cgi を755→744へ(11/10 600へ)
不明なファイル
.FoxRSF-v1 .FoxEx-v1 3chmr.php uv62e.php
7u29w.php e5bra.php
11/10 mt-xmlrpc.cgi←パーミッション変更でも効果ないサイトは削除
11/21 毎日、該当サイトをチェックするも発生なし。対応完了。
以上
11/24追記
今回のハッキングに関しまして
顧客サイト及び協業サイトには被害は及びませんでした。
・CMSを導入運営しているサイトが少なかった事
・導入サイトは最新のセキュリティアップデートが行われていた事
以上の理由によります。
最善の策を講じていたとしても、ハッキング被害はどの業者でも起こり得る事です。
どう対処したか(できるのか)を発信しておきたい意向もあり公開に至りました。
お取引先の皆様にいらぬ心配をお掛けしかねない発信ではありましたが、ご安心頂ければ幸いです。
