このブログを含めて、ホームページをしばらく閉鎖するかも知れません。キョロちゃんからのメールにより、サイトに問題があることが判明しました。サイトトップに覚えのないファイルが10本ほど混入されているのがわかり、さくらインターネットへ連絡したところ、引用のような返事が返ってきました。
CGIを利用して、なにかされたのではないかと言うのですが、そんなところから入られたのだろうか?
とりあえずはPWを変えて、フォームメールと掲示板を削除しようと思います。
いずれにしてもさくらでは「個人で勝手にやってくれ」ということらしい。調べるつもりはないみたい。
少し前のニュースに、さくらインターネットがIPを乗っ取られて大量に不正ファイルを送りこまれたというのがあった。これじゃないかと思ったんだけど・・・ 詳細はわかりません。
----ここからが引用---
また、サーバ上に意図しないファイルが設置された、もしくは内容が改ざんされてしまったといった被害についてですが、考え得る原因としては大きく分けて2種類ございます。
1. CGIプログラムの脆弱性を悪用されてしまう サーバに設置されているCGIプログラムは、HTMLファイルと同様、サーバへ アクセスできるユーザ全てが実行できます。例えば、問い合わせフォーム等 の入力画面において、不正なコードを含んだ値が入力されてしまうと、最悪 の場合、ファイルの中身を書き換えられたり、ユーザ権限を奪取されること もございます。
2. お手元のコンピュータが悪意のある第三者に不正使用されている FTP等でサーバへ接続しているコンピュータにトロイの木馬等のプログラム がインストールされてしまっていると、パスワードが漏洩し、サーバ上のリ ソース(資源)を無断で使用されてしまうこともございます。この場合、悪意 のある第三者は正規の手順でサーバへの接続が行えてしまいます。 過去30日間におけるお客さまご利用サーバへのログイン履歴を拝見したところ、海外からと思われる不正なログイン履歴等はございませんため、本件については「1」に該当するものであると思われます。
現在サーバ上に設置されているウェブデータにつきましては、どのような改ざんが行われているか全てを把握することが困難となりますので、サーバパスワードをご変更いただいた後、全てのデータを一旦削除した上で、再度設置を行ってくださいますようお願いいたします。
それ、めっちゃ怖いです。私が利用しているサーバーもさくらですから。でもサーバーがさくらだから・・・と限った事ではないですね。
私のホームページだけじゃなく管理している複数のホームページやブログについても、のんびりしてないでちゃんとチェックをする必要がありますね。
ところでcgiの脆弱性・・・って?
たとえばこのブログだってcgiファイルはいっぱいあるじゃないですか。そういうのは大丈夫なんだろうか。
「問い合わせフォーム」みたいなの、使ってるところもあるので、ちょっと気をつけようと思います。
全てのデータをいったん削除した上で、再度設置って大仕事になりそうですね。大変でしょうけど、変なファイルを残さないためには頑張らなくてはいけない作業ですね。
ホント、他人事じゃないですけど、お見舞い申し上げます。
怖いですよ。
私はサイトのトップには、indexしか置かないのですが、拡張子が怪しいファイルがいっぱい入っています。つい最近のことです。(全てこの10月)
先ほど分かっているファイルを全て削除しました。
PCにはウィルスソフトが入ってますので、それでページをチェックすると、ウィルスの疑いが表示されました。
今のところ、トップサイトだけなのですが、中は膨大なので一度ちゃんと調べなきゃと思っています。
PCの中もチェックしてみます。
CGIから入ったというのはどうなのでしょう?
私はさくらインターネットが狙われたのじゃないかとも疑っています。よく分からないけど。
http://www.security-next.com/008324.html
CGIからどうやって、ファイルをサイトに転送できるのかがよく分かりません。CGIにサイトへのパスワードなんて入れてないし・・・煩悩にはちと解決不能です(^^;
どうして分からなかったのかというと、私はサイトトップへ入ることがないからです。入り口はその下位のフォルダを設定しています。たまたまキョロちゃんが、Googleから入ろうとして「まった!」をかけられたので、発見できました。
お気の毒様です。
CGIによる脆弱性と言われても?なのですが
バッファオーバーエラーとかを呼び水に何かをするのでしょうかね?
フォームメールのCGIに脆弱性があるとかで
差し替えた事はありますが。
まだ「警告」は出てますが、防御に身を固めて強行突破して入ってきました。
千絵さんに画像付きのメールを送ってありますから見てください。「警告画面」と「その内容」の画像です。
FireFox と GoogleChome で入ると警告されます。IE だとフリーパスで入れてしまいます。防御に自信なかったらここに入ったあと、パソコンのマルウェアチェックをお薦めします。
>私はサイトトップへ入ることがないからです。
トップだけじゃないです。どこから入っても警告が出ます。私はRSSでチェックしてますが、RSSだと feed ファイル直読みなんで警告は出ません。が、サイトに入ろうとすると警告が出ます。
あと、URL はマスクしますが、この件(画像など)をセキュリティ関連記事にして自分とこに書こうと思います。サイト名は出しませんのでお許しを。
(強行突破してきた FireFox で上記を書き込もうとしたら警告に阻まれました(^_^;) IEで入り直して書き込みます)
訂正:GoogleChome → Gllgle Chrome です。
怖いですね。
私もさくらを使っているので、調査してみます。
いくつかのサイトも管理しているので、警告と思い、こちらも調べます。
大変な作業ですか、がんばつてください。
お見舞い申し上げます
なぜ気がついたかつーと、rssリーダーのcococで読んでいたのですが、読み込めなくなり、手動でアクセスしてました。
千絵・路子先生とこだけです。もうずいぶん前から。(-_-;
なぜか、今日はよみこめてるー。
FireFox、すごいじゃんと思ってしまいました。
I.E.ならふつうに入れるですもんね。
CGIの脆弱性って、私も全然わかりませんよ。
このコメントだってCGIですもんね。
いくらセキュリティが入っているからといったって、頭のよくて悪い奴が突破してやってくる可能性はあるわけです。
>なかのさん
いろいろとありがとうございました。
「防御に身を固めて」というくだりでは、思わず「さすが!」と・・・(^^;
今回のことでGoogleマスターの使い方なんてのも知りました。自分のサイトで「どのキーワードで検索されたら何番目に出るのか」なんてことまでわかっちゃいました。
SEO対策になるかも知れません。
キョロちゃんのおかげです。情報ありがとね。
FireFoxで入ってみてね。
といっても、ブログ以外何にもありませんけど(^^;
これからリニューアルしながらページを作っていくことにします。
FireFox で警告出ずに入れました。取り急ぎご報告まで。
検証ありがとうございました。
ちょっとほっとしております。