1月8日にこのサイトで不正ファイルが置かれていたのでご報告。9~12日にメンテナンスモードになっていたのは原因究明と対応のためだった。
CMSとしてWordpressを利用しているが、このCMSは全世界で60%のシェアを持っているためにサイバー攻撃も集中し易く、昨年頃から管理者アカウントへの不正ログインを試みるアクセスは1日で数百件にのぼった。
座視もできないので安全策はある程度講じていた。
- adminアカウントの削除
- 管理パスワードの強化(6桁から13桁へ変更・独自認証追加)
- wp-admin配下の海外アクセス禁止
- 1週間ごとにアクセスログの容量をチェック(Bluteforth除け)
ところが、Wordpressがインストールされているディレクトリに、見知らぬファイルが4つ置かれていた(txt/cie.txt/config.txt/config1.txt)。それぞれは単なるテキストファイルだったが、cie.txtには外部から定期的にアクセスがあった。このcie.txtには「Hacked by Mr. DellatioNx196」という文字列だけが入っている。
アクセスログを見たところ、Wordpressのプラグイン「category and page icons」の脆弱性を衝かれていたことが判明した。
180.211.91.94 – – [08/Jan/2015:12:06:29 +0900] “GET /cie-x.txt HTTP/1.1” 404 33 “https://old.rek.jp/wp-content/plugins/category-page-icons/include/wpdev-flash-uploader.php” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 Safari/537.36”
このアクセス自体は404で返しているものの、実際にcie.txtは存在しているので、wpdev-flash-uploader.phpが関与していることは間違いない。攻撃元のIPアドレスはロシアだったが、恐らく単なる踏み台だろう。
対応策として、このプラグインの作者にメールを送り、include以下のファイルへのアクセスを遮断した。
wp-adminを閉じたとしても、テーマ・プラグインでファイルコントロール系のスクリプトが含まれている場合は注意が必要だというのが今回の教訓。
ただ気になっているのが、20日が経過した現在もcie.txtへのアクセスを試みる通信がある点。アクセス元は「xxxxx.dynamic.ppp.asahi-net.or.jp」(xxxxxはこちらで伏せた)で、プロバイダーasahi-netにつながっている個人用ルータではないかと思う。ご覧になっている方でasahi-netをお使いの方はルータの設定をご確認いただければ幸いである。
no comment untill now