Wordpressのサイト書き換え被害にあいました。
IT責任者としてこれは由々しき事態です。
wordpressの脆弱性をついたアタックだったので、基本モジュールはバージョンアップさせることでなんとかなりましたが、
実はこれはイタチごっこで、また半年ぐらいしたら脆弱性が見つかって、アップデート・・・という無駄な作業のスパイラルに入ってしまいます。
とりあえず今回被害にあった内容とその対策をブログに残しておきます。
どんな被害?
サイト内のwp-content.phpの先頭行に、任意のコードを追加されて、phpの実行を許してしまう書き換え被害と、
"cfgs.php"という踏み台ファイルをサイト内のあらゆるところに配置されて、それを元に、色々な踏み台処理を実行されてしまい、
無駄な大量の不正パケットを流出する羽目になりました。
お恥ずかしい・・・
対策
とりあえず、こうならないために"cfgs.php"このファイルをサイト内に設置させないという事、仮に設置されてもすぐに削除するようにすることで、ほとんどの被害を食い止めることができるようです。
なので、cronで定期的に下記コマンドを実行して、設置状態を把握する。
$ find /var/www/html/ -name "cfgs.php"
5分おきぐらいのcronにして、ファイルがヒットしたら、rmするshellを書いておくといいでしょう。
もしかしたら、別のファイル名の可能性もあるので、まずはフィアル名の見極め作業も必要かもしれません。
でもそれって、アタック受けないとわからないですからね・・・
0 件のコメント:
コメントを投稿