- 締切済み
何者かにファイルをコピーされました。
何者かにファイルをコピーされました。 Linux(CentOS)のサーバーを管理しています。 複数のWebサイトをこのサーバーで運用しているのですが、各Webサイトのルートに、ある日「.htaccess」ファイルを置かれました。内容は特定のURL(悪質なサイト)に転送するというものでした。 当然私はそんなファイルは置いた覚えはないし、このサーバーをログイン出来る他の人に聞いても、そんな事はしていないという事でした。 ファイルの所有者は「apache」で、タイムスタンプは8/17。8/17のログイン記録をみて見ましたが、特に怪しいログインはありませんでした。 所有者が「apache」となっているので、Web経由でアップロードされたものだと予測できますが、どういった原因が予想されるでしょうか? ちなみにファイルアップロード用のフォームがあるサイトも含まれています。 よろしくお願いします。
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- John_Papa
- ベストアンサー率61% (1186/1936)
昨年はFTPによる改ざんを追っていました。 そこでは、FTPのユーザー・パスワード=SSHのユーザー・パスワードなので、自由にシェルログインされていました。 FTPに拠らずとも、SSH[22](またはtelnet[23])へのアタックはサーバー開設以来途切れる日はありません。安易なユーザー・パスワードは破られてしまいます。 ご自身ご指摘のphpMyAdminを検索する攻撃は、今年2月頃より見始めました。これも設置がバレれば利用されます。この場合同じサイト改ざんでも「ガンブラー」ではなく「SQLインジェクション」に分類されるでしょう。 apache管理のサイトアクセスログは普通のサーバーでは1週間しか保存されません。 ファイルの所有者がapacheになるケースとしてCGIが利用された可能性があります。 1.perlCGIをcgi-localに、もしくはphpをFTP転送してサイトの構造をチェック 2.指定時以降に各WEBルートに.htaccessを生成し、自己消滅するCGIをFTP転送 3.1週間以上後にWWWプロトコルでCGIにアクセス、犯行実行 ガンブラー犯はもっぱらPHPを使ってますので、設置場所を選ばないPHPが使われた確率が高いと思われます。 >どういった原因が予想されるでしょうか? ということですので、私のつたない経験から推測できるものを挙げてみました。 サイト改ざん犯は、私が出会った昨年から既にそうでしたが、全く焦りが無く余裕しゃくしゃくで事に臨んでいます。念頭に置いて対処してください。
補足
サイトを見ましたが、これには該当しないようです。 FTPのログに、怪しいIPからのアクセスはありませんでした(ログが改竄されていたらどうしようもないですが)。 .htaccessの内容も全然違うものでした。 なによりもファイルの所有者がapacheですので、FTP経由ではないと思われます(apacheというアカウントではFTPアクセスが出来ません)。 色々調べていくうちに、phpMyAdminのsetup.php経由が怪しいと判明しましたので、そちらの線で調べています。 有り難う御座いました。