イスラーム過激派のハッカーが知人のサーバをハッキング。マルウェアが6000個検出された話
いきさつ
知人のサイト(WordPress)が見れなくなったということで、
とりあえずsshでログインしてみた。
とりあえず調査
探し方としてはかなり荒っぽいけど、とりあえず
phpファイルのうち、evalを含むファイルを検索した。
find . -type f -name "*.php" | xargs grep 'eval'
あった。
あったというか滅茶苦茶あった。
カウントしてみる。
find . -type f -name "*.php" | xargs grep 'eval' | wc -l 6000
えぇー。
いったん応急処置
あまりサイトが見られない時間が長いのはSEO的にヤバイ(メディア系なので)。
いったんマルウェアを削除して再アップし、
その後にログ調査などして根本原因を突き止めることにした。
マルウェア削除 軌跡
ファイルを調べてみると
3月10日に生成されているファイルがほとんどだった。
(念のため日付はぼかしてあります)
そこをハッキングされた日として、
一旦一週間前の3月3日以降に生成された怪しいファイルを、
どんどん消していくことにした。
find . -type f -name "*.php" -newermt "2018-03-03"
を元に、
怪しい文字列を含むファイルを検出、中を確認しながら順番に削除していく。
(すごい古典的な方法だから絶対もっといい方法があるはず)
どんなファイルがあったか
以下の3つに分けられた。
webshell系
webshellってのはざっくりいうと、
webブラウザからシェルを使えるようにするやつ。
ファイルの転送、実行、編集、削除、
シェルコマンドの実行など、シェルでできそうなものならなんでもできる感じ。
DBにアクセスしたりすることもできる。
これが置かれたらサーバに対してだいたいなんでもできる。
非常に厄介。
これが1000個くらい。
なぜか3種類くらいのwebshellが置かれていた。そんなにいる?
メーラー系
サーバからスパムメールを送ることができるツール。
leafmailerというphpで作られた有名なツールが置かれていた。
これが3000個くらい。
自己誇示系
Hacked by ***
みたいに、自分のハンドルネーム的なファイルを書き残している。
これが2000個くらい。
とりあえず怪しいファイルは全部消した
結局3月10日以降に作られたファイルは全部マルウェア系だった。
攻撃者のプロファイル
ファイル名や、Hacked by *** から、攻撃者のプロファイルが何となく想像付いた。
攻撃者はおそらく、
イスラーム過激派
か、
それを騙った愉快犯っぽい。
ファイル名で検索するとそれっぽい写真がいっぱい出てくる。
どちらにしても迷惑だな。手当たり次第かよ。
脆弱性を突き止めるために
現在、ハッカーさんがアクセスログを残してくれているっぽいので解析中。
ログ残してくれてるあたり、あまりプロの仕事ではないんだろうなぁ。
優秀な人は、ログを改ざんしたり削除したりしていくらしいけど。。。
まとめ
ハッキングされると後が大変。。。やめてほしい。。