サーバーハッキングされました…

2021/12/28 2021/12/28

12/16 00:38以降、当サイトの表示が真っ白で見れない状態が発生していました。
2日前に気が付き、先程復旧完了しました。

原因は13年前に使用していたMovableTypeの脆弱性を突かれたOSコマンドインジェクションによるファイル書き換えによるものでした。

自分でも非アクセス領域に退避したものとばかり思ってたのですが、しっかり動き続けてました… orz

状況としてはこんな感じです。

最近全然記事更新ができていなかったのでさあ始めるかと、サイトに接続しにいった所画面が真っ白で表示されない…
サーバーに繋いでみたところ、以下のような状態になっていました。

  • Webルート直下および各ディレクトリに.htaccessが配置され、私の配置したコンテンツは全てアクセス不可の定義となっていた
  • Webルート直下にWordpressを偽装したファイル達が置かれ、かつ商品紹介ページのようなコンテンツを公開するようになっていた
  • 上記に合わせてrobots.txtも書き換えられ、それらを見に行くようになっていた
  • index.htmlには怪しいサイトのスクリプトを読み込むように改ざんされていた

この結果、特定のルートで接続すると以下のような商品紹介を行うようになってました。

上記サイトに突然すり替わったのは12/16ですが、その辺りのログでゴソゴソやってる痕跡がなかったため置かれたファイルのタイムスタンプから追っていった所、入り込まれたのは11/26でした。・・・ほぼ一ヶ月気づいてないアホがここにいます。
以降12/3,4,7,9と準備を進められ、16日に公開!となってたようです。

当初今使ってるCMSの脆弱性によるものとばかり考えていて、MovableTypeとは全く予想もしていなかったのですが、11/26のログでバッチリわかりました。

xxx.xxx.xxx.xxx - - [26/Nov/2021:03:22:14 +0900] "GET /cms/mt-atom.cgi HTTP/1.1" 404 - "yahoo.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
xxx.xxx.xxx.xxx - - [26/Nov/2021:03:22:15 +0900] "GET /blog/mt-atom.cgi HTTP/1.1" 301 246 "yahoo.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
xxx.xxx.xxx.xxx - - [26/Nov/2021:03:22:16 +0900] "GET /blog/mt-atom.cgi HTTP/1.1" 200 301 "yahoo.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
xxx.xxx.xxx.xxx - - [26/Nov/2021:03:22:16 +0900] "POST /blog/mt-xmlrpc.cgi HTTP/1.1" 301 248 "yahoo.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
xxx.xxx.xxx.xxx - - [26/Nov/2021:03:22:16 +0900] "GET /blog/mt-xmlrpc.cgi HTTP/1.1" 405 - "yahoo.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
xxx.xxx.xxx.xxx - - [26/Nov/2021:03:22:17 +0900] "POST /blog/mt-xmlrpc.cgi HTTP/1.1" 301 248 "yahoo.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
xxx.xxx.xxx.xxx - - [26/Nov/2021:03:22:17 +0900] "GET /blog/mt-xmlrpc.cgi HTTP/1.1" 405 - "yahoo.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
xxx.xxx.xxx.xxx - - [26/Nov/2021:03:22:18 +0900] "POST /blog/mt-xmlrpc.cgi HTTP/1.1" 200 487 "yahoo.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
xxx.xxx.xxx.xxx - - [26/Nov/2021:03:22:19 +0900] "GET /fox.php HTTP/1.1" 200 143 "yahoo.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

MovableTypeのAPI呼び出しCGIを総当りで探しにいき、ウチの/blog配下に置かれていたMovableTypeにヒットしPOSTしてます。
その直後、存在しないはずのfox.phpのリクエストが200(正常)で完了しているのを見つけて、これだ!と思いました。
POSTの内容は不明ですが、コードを流し込んで実行できた結果ファイルが作れてしまったと…

ということでバックアップから戻しつつ、/blog等の過去の遺産は非公開にしました。

今回は半分自分のせいでもあります。
古いものを置きっぱにしてバージョンアップしないまま放置していたので、やられるべくしてやられた感じですね。

今回の反省を踏まえ、ブルートフォース系アタックの対策を合わせて仕込みました。
プラス、ファイルの更新監視も入れようか(ちょろっとShell組むだけですが)検討中です。

とりあえず、疲れました…

今回攻撃元のIPを追ってみたのですが、AWSが持ってるIPでした。なのでEC2からっぽいですね。

関連記事

関連記事はありません。

 

コメントとトラックバック

    コメントはありません

    コメントを残す

    CAPTCHA


    トラックバックURLhttps://e-tune-mt.net/ylab/6112/trackback