さてさて、新たな脅威が登場したので久しぶりの更新です。
昨日(6月7日)、管理しているサイトを開く際にウイルスソフトがピコピコ反応したとの報告があり、
調べてみたところ、Google等の検索結果からそのサイトに移動すると、Google検索TOPへリダイレクトされるという不思議な現象が。
で、サーバーを調べたところ.htaccessが複数書き換えられている事が判明。
.htaccessには、以下のような記述に改ざんされていました。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|aol|goto|infoseek|lycos|search|bing|dogpile|facebook|twitter|live|myspace|linkedin|flickr)\.(.*)
RewriteRule ^(.*)$ http:// ***** .ru/ytyi?8 [R=301,L]
</IfModule>
*****ここに元々あった記述*****
ErrorDocument 401 http:// ***** .ru/ytyi?8
ErrorDocument 403 http:// ***** .ru/ytyi?8
ErrorDocument 404 http:// ***** .ru/ytyi?8
↑こんな感じでエラーの際にhttp:// ***** .ru/ytyi?8へ移動するといった記述がつらつらと
何をやっているかというと、google、ask、yahooなどの検索エンジンやポータルサイトから移動してきた場合は、http:// *****.ru/ytyi?8というサイドへリダイレクトする。
またはページが見当たらない場合(エラーの場合)も同じくhttp:// *****.ru/ytyi?8へリダイレクトする。
という感じだと思います。
http:// *****.ru/ytyi?8へリダイレクトする記述なのに、なぜかGoogleに飛んでしまうのはhttp:// *****.ru/ytyi?8のサイトにアクセスするとすぐにGoogleへリダイレクトするように仕組まれてるか、
Googleが危険なドメインにアクセスさせないような仕組みになっているのかどっちかかと思います。
推測ですが上記URLにアクセスすると、ガンブラーと同じく偽ウイルスソフトが動き出して、
そこでうかつにもクレジットカード情報を入力してしまうとお金を使われてしまう、という事になると思われます。
原因を探るために色々やってみました。
・サーバーへのFTPアクセスをIP制限
・Movable TypeとWordPressへベーシック認証をかけて外部からアクセス不可に
で、結局改ざんされた.htaccessを修正しても数十分、1時間くらいするとまた書き換えられてしまう。
もう一度詳しくしらべたらどうやら以下のような怪しいファイルが作られている事が判明。
・mt******.php( ******の部分は数字が入る)
・pagenews.php
これらのファイルが、ドメイン指定ディレクトリのTOPなどに作られているので、それを削除すると.htaccessの改ざんがなくなりました。
pagenews.phpへアクセスするとhttp://geocities.yahoo.co.jp/gl/gbmogiki/view/20120503/1336043821のような画面が表示されるらしい。
このphpを使って、.htaccessを改ざんするプログラムを行うようです。
さて、どこでこのファイルが作られたのかという根本的な原因は分かりませんが、
WordPressやMovable Typeの脆弱性により作られたファイルだという情報があります。
しかも狙われてるのはヘテムルサーバーとうい事なのでお使いの方は以下を参考に対処したほうがよろしうかと。
http://heteml.jp/pages/security-sol/